Over de beveiligingsinhoud van OS X Yosemite v10.10.5 en Beveiligingsupdate 2015-006

In dit document wordt de beveiligingsinhoud van OS X Yosemite v10.10.5 en Beveiligingsupdate 2015-006 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X Yosemite v10.10.5 en Beveiligingsupdate 2015-006

  • apache

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in Apache 2.4.16, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt

    Beschrijving: er waren meerdere kwetsbaarheden in versies van Apache lager dan 2.4.16. Deze zijn verholpen door Apache bij te werken naar versie 2.4.16.

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in PHP 5.5.20, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere kwetsbaarheden in versies van PHP lager dan 5.5.20. Deze zijn verholpen door Apache bij te werken naar versie 5.5.27.

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD-plugin

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan het wachtwoord van een lokale gebruiker wijzigen

    Beschrijving: onder bepaalde omstandigheden was er een probleem met het statusbeheer bij de verificatie van het wachtwoord. Het probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2015-3799: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP

  • AppleGraphicsControl

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan de weergave van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in AppleGraphicsControl dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5768: JieTao Yang van KeenTeam

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOBluetoothHCIController. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3779: Teddy Reed van Facebook Security

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: een probleem met geheugenbeheer heeft mogelijk geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.

    CVE-ID

    CVE-2015-3780: Roberto Paleari en Aristide Fattori van Emaze Networks

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma heeft mogelijk toegang tot meldingen van andere iCloud-apparaten

    Beschrijving: er was een probleem waarbij een kwaadaardig programma toegang had tot een Mac die via Bluetooth was verbonden of tot meldingen in het berichtencentrum op een iOS-apparaat via de voorziening voor berichtgeving van Apple. Het probleem was van invloed op apparaten die Handoff gebruikten en bij dezelfde iCloud-account waren ingelogd. Dit probleem is verholpen door de toegang tot de voorziening voor berichtgeving van Apple in te trekken.

    CVE-ID

    CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een aanval in de vorm van een weigering van service opzetten met behulp van Bluetooth-pakketten

    Beschrijving: er was een probleem met de invoervalidatie bij het parseren van Bluetooth ACL-pakketten. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van XPC-berichten in blued. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-3777: mitp0sh van [PDX]

  • bootp

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig Wi-Fi-netwerk kan bepalen met welke netwerken een apparaat eerder was verbonden

    Beschrijving: bij de verbinding met een Wi-Fi-netwerk kan iOS MAC-adressen van eerder verbonden netwerken via het DNAv4-protocol uitzenden. Dit probleem is verholpen door DNAv4 in niet-gecodeerde Wi-Fi-netwerken uit te schakelen.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon van Oxford Internet Institute, University of Oxford (in het project EPSRC Being There)

  • CloudKit

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma heeft mogelijk toegang tot de record van een eerder bij iCloud ingelogde gebruiker

    Beschrijving: er was een inconsistentie van de status in CloudKit bij het uitloggen van gebruikers. Dit probleem is verholpen door een verbeterde verwerking van de status.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha van University of Toronto

  • CoreMedia afspelen

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging bij het afspelen in CoreMedia. Deze zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: meerdere kwetsbaarheden in versies van cURL en libcurl lager dan 7.38.0, waarvan er een kan toestaan dat externe aanvallers het beleid voor dezelfde oorsprong negeren.

    Beschrijving: er waren meerdere kwetsbaarheden in versies van cURL en libcurl die lager zijn dan 7.38.0. Deze problemen zijn verholpen door cURL bij te werken naar versie 7.43.0.

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een reeks Unicode-tekens kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van Unicode-tekens. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5750: M1x7e1 van Safeye Team (www.safeye.org)

  • Het voorkeurenpaneel Datum en tijd

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: programma’s die op de tijd van het systeem vertrouwen, kunnen onverwacht gedrag vertonen

    Beschrijving: er was een probleem met de identiteitscontrole bij het wijzigen van de voorkeuren voor datum en tijd van het systeem. Dit probleem is verholpen met extra identiteitscontroles.

    CVE-ID

    CVE-2015-3757: Mark S C Smith

  • Het programma Woordenboek

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan verzoeken van het programma Woordenboek van gebruikers onderscheppen

    Beschrijving: er was een probleem in het programma Woordenboek waarbij verbindingen met gebruikers niet naar behoren waren beveiligd. Dit probleem is verholpen door verzoeken van Woordenboek naar HTTPS te verplaatsen.

    CVE-ID

    CVE-2015-3774: Jeffrey Paul van EEQJ, Jan Bee van het Google Security Team

  • DiskImages

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd DMG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van misvormde DMG-afbeeldingen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3800: Frank Graziano van het Yahoo Pentest Team 

  • dyld

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met de validatie van het pad in dyld. Dit is verholpen door een verbeterde opschoning van de omgeving.

    CVE-ID

    CVE-2015-3760: beist van grayhash, Stefan Esser

  • FontParser

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: meerdere problemen in pdfroff

    Beschrijving: er waren meerdere problemen in pdfroff waarvan de ernstigste mogelijk willekeurige wijzigingen aan het bestandssysteem toestaan. Deze problemen zijn verholpen door pdfroff te verwijderen.

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van TIFF-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van procesgeheugen

    Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van PNG- en TIFF-afbeeldingen door ImageIO. Een bezoek aan een kwaadaardige website kan leiden tot het versturen van informatie vanuit het procesgeheugen naar de website. Dit probleem is verholpen met een verbeterde geheugeninitialisatie en extra validatie van PNG- en TIFF-afbeeldingen.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework Legacy

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden

    Beschrijving: er was een probleem bij de manier waarop het binaire bestand ‘runner’ van Install.framework bevoegdheden verwijderde. Dit probleem is verholpen door een verbeterd beheer van bevoegdheden.

    CVE-ID

    CVE-2015-5784: Ian Beer van Google Project Zero

  • Install Framework Legacy

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een racevoorwaarde bij het binaire bestand ‘runner’ van Install.framework waardoor bevoegdheden onjuist werden verwijderd. Dit probleem is verholpen door een verbeterde vergrendeling van objecten.

    CVE-ID

    CVE-2015-5754: Ian Beer van Google Project Zero

  • IOFireWireFamily

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren problemen met geheugenbeschadiging in IOFireWireFamily. Deze problemen zijn verholpen door een extra validatie van de invoer.

    CVE-ID

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOGraphics. Dit probleem is verholpen door een extra validatie van de invoer.

    CVE-ID

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in de interface mach_port_space_info dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit is verholpen door de interface mach_port_space_info uit te schakelen.

    CVE-ID

    CVE-2015-3766: Cererdlong van Alibaba Mobile Security Team, @PanguTeam

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een overloop bij gehele getallen bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem

    Beschrijving: er was een probleem met de uitputting van bronnen in het besturingsbestand fasttrap. Dit is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5747: Maxime VILLARD van m00nbsd

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem

    Beschrijving: er was een validatieprobleem bij de activering van HFS-volumes. Dit is verholpen door extra controles toe te voegen.

    CVE-ID

    CVE-2015-5748: Maxime VILLARD van m00nbsd

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan niet-ondertekende code uitvoeren

    Beschrijving: er was een probleem waarbij niet-ondertekende code werd toegevoegd aan ondertekende code in een speciaal vervaardigd uitvoerbaar bestand. Dit probleem is verholpen door een verbeterde validatie van handtekeningen.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een speciaal vervaardigd uitvoerbaar bestand kan het uitvoeren van niet-ondertekende, kwaadaardige code toestaan

    Beschrijving: er was een probleem met de manier waarop multi-architecturele, uitvoerbare bestanden werden geëvalueerd waardoor niet-ondertekende code mogelijk werd uitgevoerd. Dit probleem is verholpen door een verbeterde validatie van uitvoerbare bestanden.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan niet-ondertekende code uitvoeren

    Beschrijving: er was een validatieprobleem bij de verwerking van Mach-O-bestanden. Dit is verholpen door extra controles toe te voegen.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigd plist kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijving: er was geheugenbeschadiging bij de verwerking van misvormde plists. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3776: Teddy Reed van Facebook Security, Patrick Stein (@jollyjinx) van Jinx Germany

  • Kernel

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met de validatie van het pad. Dit is verholpen door een verbeterde opschoning van de omgeving.

    CVE-ID

    CVE-2015-3761: Apple

  • Libc

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigde reguliere expressie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging in de TRE-bibliotheek. Deze zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3796: Ian Beer van Google Project Zero

    CVE-2015-3797: Ian Beer van Google Project Zero

    CVE-2015-3798: Ian Beer van Google Project Zero

  • Libinfo

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van AF_INET6-sockets. Deze zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van syscalls. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.

    CVE-ID

    CVE-2015-5757: Lufeng Li van Qihoo 360

  • libxml2

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in versies van libxml2 lager dan 2.9.2, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt

    Beschrijving: er waren meerdere kwetsbaarheden in versies van libxml2 lager dan 2.9.2. Deze zijn verholpen door libxml2 bij te werken naar versie 2.9.2.

    CVE-ID

    CVE-2012-6685: Felix Groebert van Google

    CVE-2014-0191: Felix Groebert van Google

  • libxml2

    Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadaardig vervaardigd XML-document kan leiden tot het vrijgeven van gebruikersgegevens

    Beschrijving: er was een probleem met de geheugentoegang in libxml2. Dit is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-3660: Felix Groebert van Google

  • libxml2

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadaardig vervaardigd XML-document kan leiden tot het vrijgeven van gebruikersgegevens

    Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van XML-bestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3807: Apple

  • libxpc

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van misvormde XPC-berichten. Dit probleem is verbeterd door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige shell-commando’s uitvoeren

    Beschrijving: er was een validatieprobleem bij de mailx-parsering van e-mailadressen. Dit is verholpen door een verbeterde opschoning.

    CVE-ID

    CVE-2014-7844

  • Berichtencentrum OSX

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een kwaadaardig programma heeft mogelijk toegang tot alle berichten die eerder aan gebruikers zijn weergegeven

    Beschrijving: er was een probleem in Berichtencentrum waarbij berichten aan gebruikers niet naar behoren werden verwijderd. Dit probleem is verholpen door berichten die door gebruikers zijn gesloten naar behoren te verwijderen.

    CVE-ID

    CVE-2015-3764: Jonathan Zdziarski

  • NTFS

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in NTFS. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5763: Roberto Paleari en Aristide Fattori van Emaze Networks

  • OpenSSH

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: externe aanvallers kunnen een vertraging voor mislukte inlogpogingen omzeilen en ‘brute-force’ aanvallen uitvoeren

    Beschrijving: er was een probleem bij de verwerking van toetsenbordinteractieve apparaten. Dit probleem is verholpen door een verbeterde validatie van identiteitscontroles.

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt

    Beschrijving: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg. Deze zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zg.

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigde reguliere expressie kan leiden tot het vrijgeven van het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met een onderloop van gehele getallen bij de manier waarop Perl reguliere expressies heeft geparseerd. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: een aanvaller kan zorgen voor het onverwacht beëindigen van het programma of kan toegang verkrijgen tot gegevens zonder de juiste identiteitscontrole

    Beschrijving: er waren meerdere problemen in PostgreSQL 9.2.4. Deze problemen zijn verholpen door PostgreSQL bij te werken naar 9.2.13.

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in Python 2.7.6, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere kwetsbaarheden in versies van Python lager dan 2.7.6. Deze zijn verholpen door Python bij te werken naar versie 2.7.10.

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigd Office-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van Office-documenten. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5773: Apple

  • QL Office

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigd XML-bestand kan leiden tot het vrijgeven van gebruikersgegevens

    Beschrijving: er was een ‘External Entity’-referentieprobleem bij het parseren van XML-bestanden. Dit probleem is verholpen door een verbeterde parsering.

    CVE-ID

    CVE-2015-3784: Bruno Morisson van INTEGRITY S.A.

  • Quartz Composer Framework

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigd QuickTime-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van QuickTime-bestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5771: Apple

  • Snelle weergave

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het zoeken naar een eerder bezochte website kan de webbrowser starten en die website weergeven

    Beschrijving: er was een probleem waarbij Geef snel weer JavaScript kon uitvoeren. Het probleem is verholpen door het uitvoeren van JavaScript uit te schakelen.

    CVE-ID

    CVE-2015-3781: Andrew Pouliot van Facebook, Anto Loyola van Qubole

  • QuickTime 7

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in QuickTime. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in QuickTime. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3765: Joe Burnett van Audio Poison

    CVE-2015-3788: Ryan Pentney en Richard Johnson van Cisco Talos

    CVE-2015-3789: Ryan Pentney en Richard Johnson van Cisco Talos

    CVE-2015-3790: Ryan Pentney en Richard Johnson van Cisco Talos

    CVE-2015-3791: Ryan Pentney en Richard Johnson van Cisco Talos

    CVE-2015-3792: Ryan Pentney en Richard Johnson van Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het bekijken van een kwaadwillig vervaardigd Collada-bestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een heapbufferoverloop bij de verwerking van Collada-bestanden in SceneKit. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5772: Apple

  • SceneKit

    Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4

    Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een probleem met geheugenbeschadiging in SceneKit. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3783: Haris Andrianakis van Google Security Team

  • Beveiliging

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een normale gebruiker kan toegang krijgen tot beheerdersbevoegdheden zonder een juiste identiteitscontrole

    Beschrijving: er was een probleem bij de identiteitscontrole van gebruikers. Dit probleem is verholpen door een verbeterde controle van de identiteitscontrole.

    CVE-ID

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een probleem met geheugenbeschadiging in de SMB-client. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3773: Ilja van Sprundel

  • Speech UI

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigde Unicode-tekenreeks met gesproken waarschuwingen kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Unicode-tekenreeksen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3794: Adam Greenbaum van Refinitive

  • sudo

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in versies van sudo lager dan 1.7.10p9, waarvan de ernstigste kunnen toestaan dat een aanvaller toegang heeft tot willekeurige bestanden

    Beschrijving: er waren meerdere kwetsbaarheden in versies van sudo lager dan 1.7.10p9. Deze zijn verholpen door sudo bij te werken naar versie 1.7.10p9.

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: er waren meerdere kwetsbaarheden in tcpdump 4.7.3, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt

    Beschrijving: er waren meerdere kwetsbaarheden in versies van tcpdump lager dan 4.7.3. Deze zijn verholpen door tcpdump bij te werken naar versie 4.7.3.

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Tekststructuren

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het parseren van een kwaadwillig vervaardigd tekstbestand kan leiden tot het vrijgeven van gebruikersgegevens

    Beschrijving: er was een ‘XML External Entity’-referentieprobleem bij het parseren in Teksteditor. Dit probleem is verholpen door een verbeterde parsering.

    CVE-ID

    CVE-2015-3762: Xiaoyong Wu van het Evernote Security Team

  • udf

    Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4

    Impact: het verwerken van een kwaadwillig vervaardigd DMG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van misvormde DMG-afbeeldingen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-3767: beist van grayhash

OS X Yosemite v10.10.5 bevat de beveiligingsinhoud van Safari 8.0.8.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: