Over de beveiligingsinhoud van OS X Yosemite v10.10.5 en Beveiligingsupdate 2015-006
In dit document wordt de beveiligingsinhoud van OS X Yosemite v10.10.5 en Beveiligingsupdate 2015-006 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple-productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
OS X Yosemite v10.10.5 en Beveiligingsupdate 2015-006
apache
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in Apache 2.4.16, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt
Beschrijving: er waren meerdere kwetsbaarheden in versies van Apache lager dan 2.4.16. Deze zijn verholpen door Apache bij te werken naar versie 2.4.16.
CVE-ID
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in PHP 5.5.20, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in versies van PHP lager dan 5.5.20. Deze zijn verholpen door Apache bij te werken naar versie 5.5.27.
CVE-ID
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Apple ID OD-plugin
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan het wachtwoord van een lokale gebruiker wijzigen
Beschrijving: onder bepaalde omstandigheden was er een probleem met het statusbeheer bij de verificatie van het wachtwoord. Het probleem is verholpen door een verbeterd statusbeheer.
CVE-ID
CVE-2015-3799: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van HP
AppleGraphicsControl
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan de weergave van het kernelgeheugen bepalen
Beschrijving: er was een probleem in AppleGraphicsControl dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5768: JieTao Yang van KeenTeam
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOBluetoothHCIController. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3779: Teddy Reed van Facebook Security
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met geheugenbeheer heeft mogelijk geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-ID
CVE-2015-3780: Roberto Paleari en Aristide Fattori van Emaze Networks
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma heeft mogelijk toegang tot meldingen van andere iCloud-apparaten
Beschrijving: er was een probleem waarbij een kwaadaardig programma toegang had tot een Mac die via Bluetooth was verbonden of tot meldingen in het berichtencentrum op een iOS-apparaat via de voorziening voor berichtgeving van Apple. Het probleem was van invloed op apparaten die Handoff gebruikten en bij dezelfde iCloud-account waren ingelogd. Dit probleem is verholpen door de toegang tot de voorziening voor berichtgeving van Apple in te trekken.
CVE-ID
CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een aanval in de vorm van een weigering van service opzetten met behulp van Bluetooth-pakketten
Beschrijving: er was een probleem met de invoervalidatie bij het parseren van Bluetooth ACL-pakketten. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3787: Trend Micro
Bluetooth
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er waren meerdere problemen met bufferoverloop bij de verwerking van XPC-berichten in blued. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-3777: mitp0sh van [PDX]
bootp
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig Wi-Fi-netwerk kan bepalen met welke netwerken een apparaat eerder was verbonden
Beschrijving: bij de verbinding met een Wi-Fi-netwerk kan iOS MAC-adressen van eerder verbonden netwerken via het DNAv4-protocol uitzenden. Dit probleem is verholpen door DNAv4 in niet-gecodeerde Wi-Fi-netwerken uit te schakelen.
CVE-ID
CVE-2015-3778: Piers O'Hanlon van Oxford Internet Institute, University of Oxford (in het project EPSRC Being There)
CloudKit
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma heeft mogelijk toegang tot de record van een eerder bij iCloud ingelogde gebruiker
Beschrijving: er was een inconsistentie van de status in CloudKit bij het uitloggen van gebruikers. Dit probleem is verholpen door een verbeterde verwerking van de status.
CVE-ID
CVE-2015-3782: Deepkanwal Plaha van University of Toronto
CoreMedia afspelen
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het bekijken van een kwaadwillig vervaardigd filmbestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging bij het afspelen in CoreMedia. Deze zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
curl
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: meerdere kwetsbaarheden in versies van cURL en libcurl lager dan 7.38.0, waarvan er een kan toestaan dat externe aanvallers het beleid voor dezelfde oorsprong negeren.
Beschrijving: er waren meerdere kwetsbaarheden in versies van cURL en libcurl die lager zijn dan 7.38.0. Deze problemen zijn verholpen door cURL bij te werken naar versie 7.43.0.
CVE-ID
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een reeks Unicode-tekens kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van Unicode-tekens. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5750: M1x7e1 van Safeye Team (www.safeye.org)
Het voorkeurenpaneel Datum en tijd
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: programma’s die op de tijd van het systeem vertrouwen, kunnen onverwacht gedrag vertonen
Beschrijving: er was een probleem met de identiteitscontrole bij het wijzigen van de voorkeuren voor datum en tijd van het systeem. Dit probleem is verholpen met extra identiteitscontroles.
CVE-ID
CVE-2015-3757: Mark S C Smith
Het programma Woordenboek
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan verzoeken van het programma Woordenboek van gebruikers onderscheppen
Beschrijving: er was een probleem in het programma Woordenboek waarbij verbindingen met gebruikers niet naar behoren waren beveiligd. Dit probleem is verholpen door verzoeken van Woordenboek naar HTTPS te verplaatsen.
CVE-ID
CVE-2015-3774: Jeffrey Paul van EEQJ, Jan Bee van het Google Security Team
DiskImages
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd DMG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van misvormde DMG-afbeeldingen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3800: Frank Graziano van het Yahoo Pentest Team
dyld
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met de validatie van het pad in dyld. Dit is verholpen door een verbeterde opschoning van de omgeving.
CVE-ID
CVE-2015-3760: beist van grayhash, Stefan Esser
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
groff
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: meerdere problemen in pdfroff
Beschrijving: er waren meerdere problemen in pdfroff waarvan de ernstigste mogelijk willekeurige wijzigingen aan het bestandssysteem toestaan. Deze problemen zijn verholpen door pdfroff te verwijderen.
CVE-ID
CVE-2009-5044
CVE-2009-5078
ImageIO
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigde TIFF-afbeelding kan leiden tot het onverwacht beëindigen van het programma of uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van TIFF-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5758: Apple
ImageIO
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: er was een probleem met een niet-geïnitialiseerde geheugentoegang bij het verwerken van PNG- en TIFF-afbeeldingen door ImageIO. Een bezoek aan een kwaadaardige website kan leiden tot het versturen van informatie vanuit het procesgeheugen naar de website. Dit probleem is verholpen met een verbeterde geheugeninitialisatie en extra validatie van PNG- en TIFF-afbeeldingen.
CVE-ID
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework Legacy
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: er was een probleem bij de manier waarop het binaire bestand ‘runner’ van Install.framework bevoegdheden verwijderde. Dit probleem is verholpen door een verbeterd beheer van bevoegdheden.
CVE-ID
CVE-2015-5784: Ian Beer van Google Project Zero
Install Framework Legacy
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een racevoorwaarde bij het binaire bestand ‘runner’ van Install.framework waardoor bevoegdheden onjuist werden verwijderd. Dit probleem is verholpen door een verbeterde vergrendeling van objecten.
CVE-ID
CVE-2015-5754: Ian Beer van Google Project Zero
IOFireWireFamily
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er waren problemen met geheugenbeschadiging in IOFireWireFamily. Deze problemen zijn verholpen door een extra validatie van de invoer.
CVE-ID
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOGraphics. Dit probleem is verholpen door een extra validatie van de invoer.
CVE-ID
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een bufferoverloop in IOHIDFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem in de interface mach_port_space_info dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit is verholpen door de interface mach_port_space_info uit te schakelen.
CVE-ID
CVE-2015-3766: Cererdlong van Alibaba Mobile Security Team, @PanguTeam
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een overloop bij gehele getallen bij de verwerking van IOKit-functies. Dit probleem is verholpen door een verbeterde validatie van IOKit API-argumenten.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem
Beschrijving: er was een probleem met de uitputting van bronnen in het besturingsbestand fasttrap. Dit is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5747: Maxime VILLARD van m00nbsd
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem
Beschrijving: er was een validatieprobleem bij de activering van HFS-volumes. Dit is verholpen door extra controles toe te voegen.
CVE-ID
CVE-2015-5748: Maxime VILLARD van m00nbsd
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan niet-ondertekende code uitvoeren
Beschrijving: er was een probleem waarbij niet-ondertekende code werd toegevoegd aan ondertekende code in een speciaal vervaardigd uitvoerbaar bestand. Dit probleem is verholpen door een verbeterde validatie van handtekeningen.
CVE-ID
CVE-2015-3806: TaiG Jailbreak Team
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een speciaal vervaardigd uitvoerbaar bestand kan het uitvoeren van niet-ondertekende, kwaadaardige code toestaan
Beschrijving: er was een probleem met de manier waarop multi-architecturele, uitvoerbare bestanden werden geëvalueerd waardoor niet-ondertekende code mogelijk werd uitgevoerd. Dit probleem is verholpen door een verbeterde validatie van uitvoerbare bestanden.
CVE-ID
CVE-2015-3803: TaiG Jailbreak Team
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan niet-ondertekende code uitvoeren
Beschrijving: er was een validatieprobleem bij de verwerking van Mach-O-bestanden. Dit is verholpen door extra controles toe te voegen.
CVE-ID
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigd plist kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: er was geheugenbeschadiging bij de verwerking van misvormde plists. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3776: Teddy Reed van Facebook Security, Patrick Stein (@jollyjinx) van Jinx Germany
Kernel
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met de validatie van het pad. Dit is verholpen door een verbeterde opschoning van de omgeving.
CVE-ID
CVE-2015-3761: Apple
Libc
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigde reguliere expressie kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging in de TRE-bibliotheek. Deze zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3796: Ian Beer van Google Project Zero
CVE-2015-3797: Ian Beer van Google Project Zero
CVE-2015-3798: Ian Beer van Google Project Zero
Libinfo
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van AF_INET6-sockets. Deze zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5776: Apple
libpthread
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van syscalls. Dit probleem is verholpen door een verbeterde controle van de vergrendelde status.
CVE-ID
CVE-2015-5757: Lufeng Li van Qihoo 360
libxml2
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in versies van libxml2 lager dan 2.9.2, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt
Beschrijving: er waren meerdere kwetsbaarheden in versies van libxml2 lager dan 2.9.2. Deze zijn verholpen door libxml2 bij te werken naar versie 2.9.2.
CVE-ID
CVE-2012-6685: Felix Groebert van Google
CVE-2014-0191: Felix Groebert van Google
libxml2
Beschikbaar voor: OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadaardig vervaardigd XML-document kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een probleem met de geheugentoegang in libxml2. Dit is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2014-3660: Felix Groebert van Google
libxml2
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadaardig vervaardigd XML-document kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van XML-bestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3807: Apple
libxpc
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van misvormde XPC-berichten. Dit probleem is verbeterd door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-3795: Mathew Rowley
mail_cmds
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige shell-commando’s uitvoeren
Beschrijving: er was een validatieprobleem bij de mailx-parsering van e-mailadressen. Dit is verholpen door een verbeterde opschoning.
CVE-ID
CVE-2014-7844
Berichtencentrum OSX
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een kwaadaardig programma heeft mogelijk toegang tot alle berichten die eerder aan gebruikers zijn weergegeven
Beschrijving: er was een probleem in Berichtencentrum waarbij berichten aan gebruikers niet naar behoren werden verwijderd. Dit probleem is verholpen door berichten die door gebruikers zijn gesloten naar behoren te verwijderen.
CVE-ID
CVE-2015-3764: Jonathan Zdziarski
NTFS
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in NTFS. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5763: Roberto Paleari en Aristide Fattori van Emaze Networks
OpenSSH
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: externe aanvallers kunnen een vertraging voor mislukte inlogpogingen omzeilen en ‘brute-force’ aanvallen uitvoeren
Beschrijving: er was een probleem bij de verwerking van toetsenbordinteractieve apparaten. Dit probleem is verholpen door een verbeterde validatie van identiteitscontroles.
CVE-ID
CVE-2015-5600
OpenSSL
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt
Beschrijving: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg. Deze zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zg.
CVE-ID
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigde reguliere expressie kan leiden tot het vrijgeven van het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met een onderloop van gehele getallen bij de manier waarop Perl reguliere expressies heeft geparseerd. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2013-7422
PostgreSQL
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: een aanvaller kan zorgen voor het onverwacht beëindigen van het programma of kan toegang verkrijgen tot gegevens zonder de juiste identiteitscontrole
Beschrijving: er waren meerdere problemen in PostgreSQL 9.2.4. Deze problemen zijn verholpen door PostgreSQL bij te werken naar 9.2.13.
CVE-ID
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in Python 2.7.6, waarvan de ernstigste kunnen leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren meerdere kwetsbaarheden in versies van Python lager dan 2.7.6. Deze zijn verholpen door Python bij te werken naar versie 2.7.10.
CVE-ID
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigd Office-document kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van Office-documenten. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5773: Apple
QL Office
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigd XML-bestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een ‘External Entity’-referentieprobleem bij het parseren van XML-bestanden. Dit probleem is verholpen door een verbeterde parsering.
CVE-ID
CVE-2015-3784: Bruno Morisson van INTEGRITY S.A.
Quartz Composer Framework
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigd QuickTime-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van QuickTime-bestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5771: Apple
Snelle weergave
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het zoeken naar een eerder bezochte website kan de webbrowser starten en die website weergeven
Beschrijving: er was een probleem waarbij Geef snel weer JavaScript kon uitvoeren. Het probleem is verholpen door het uitvoeren van JavaScript uit te schakelen.
CVE-ID
CVE-2015-3781: Andrew Pouliot van Facebook, Anto Loyola van Qubole
QuickTime 7
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in QuickTime. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in QuickTime. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3765: Joe Burnett van Audio Poison
CVE-2015-3788: Ryan Pentney en Richard Johnson van Cisco Talos
CVE-2015-3789: Ryan Pentney en Richard Johnson van Cisco Talos
CVE-2015-3790: Ryan Pentney en Richard Johnson van Cisco Talos
CVE-2015-3791: Ryan Pentney en Richard Johnson van Cisco Talos
CVE-2015-3792: Ryan Pentney en Richard Johnson van Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het bekijken van een kwaadwillig vervaardigd Collada-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een heapbufferoverloop bij de verwerking van Collada-bestanden in SceneKit. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5772: Apple
SceneKit
Beschikbaar voor: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 t/m v10.10.4
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met geheugenbeschadiging in SceneKit. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3783: Haris Andrianakis van Google Security Team
Beveiliging
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een normale gebruiker kan toegang krijgen tot beheerdersbevoegdheden zonder een juiste identiteitscontrole
Beschrijving: er was een probleem bij de identiteitscontrole van gebruikers. Dit probleem is verholpen door een verbeterde controle van de identiteitscontrole.
CVE-ID
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met geheugenbeschadiging in de SMB-client. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3773: Ilja van Sprundel
Speech UI
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigde Unicode-tekenreeks met gesproken waarschuwingen kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van Unicode-tekenreeksen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3794: Adam Greenbaum van Refinitive
sudo
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in versies van sudo lager dan 1.7.10p9, waarvan de ernstigste kunnen toestaan dat een aanvaller toegang heeft tot willekeurige bestanden
Beschrijving: er waren meerdere kwetsbaarheden in versies van sudo lager dan 1.7.10p9. Deze zijn verholpen door sudo bij te werken naar versie 1.7.10p9.
CVE-ID
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: er waren meerdere kwetsbaarheden in tcpdump 4.7.3, waarvan de ernstigste kunnen toestaan dat een externe aanvaller een weigering van service veroorzaakt
Beschrijving: er waren meerdere kwetsbaarheden in versies van tcpdump lager dan 4.7.3. Deze zijn verholpen door tcpdump bij te werken naar versie 4.7.3.
CVE-ID
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Tekststructuren
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het parseren van een kwaadwillig vervaardigd tekstbestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een ‘XML External Entity’-referentieprobleem bij het parseren in Teksteditor. Dit probleem is verholpen door een verbeterde parsering.
CVE-ID
CVE-2015-3762: Xiaoyong Wu van het Evernote Security Team
udf
Beschikbaar voor: OS X Yosemite v10.10 t/m v10.10.4
Impact: het verwerken van een kwaadwillig vervaardigd DMG-bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van misvormde DMG-afbeeldingen. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-3767: beist van grayhash
OS X Yosemite v10.10.5 bevat de beveiligingsinhoud van Safari 8.0.8.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.