Over de beveiligingsinhoud van OS X El Capitan v10.11

In dit artikel wordt de beveiligingsinhoud van OS X El Capitan v10.11 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vindt u op de website Apple productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

OS X El Capitan v10.11

  • Adresboek

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale aanvaller kan mogelijk willekeurige code injecteren in processen die het framework van Adresboek laden

    Beschrijving: er was een probleem met de verwerking van een omgevingsvariabele door het framework van Adresboek. Dit probleem is verholpen door een verbeterde verwerking van de omgevingsvariabele.

    CVE-ID

    CVE-2015-5897: Dan Bastone van Gotham Digital Science

  • AirScan

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk een payload extraheren uit eSCL-pakketten die via een beveiligde verbinding worden verzonden

    Beschrijving: er was een probleem met de verwerking van eSCL-pakketten. Dit probleem is verholpen door verbeterde validatiecontroles.

    CVE-ID

    CVE-2015-5853: een anonieme onderzoeker

  • apache_mod_php

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in PHP

    Beschrijving: er waren meerdere kwetsbaarheden in versies van PHP lager dan 5.5.27, waaronder een kwetsbaarheid die mogelijk heeft geleid tot het uitvoeren van code op afstand. Dit probleem is verholpen door PHP bij te werken naar versie 5.5.27.

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot de sleutelhangeronderdelen van een gebruiker

    Beschrijving: er was een probleem met de validatie van toegangscontrolelijsten voor iCloud-sleutelhangeronderdelen. Dit probleem is verholpen door verbeterde controles van de toegangscontrolelijsten.

    CVE-ID

    CVE-2015-5836: XiaoFeng Wang van Indiana University, Luyi Xing van Indiana University, Tongxin Li van Peking University, Tongxin Li van Peking University, Xiaolong Bai van Tsinghua University

  • AppleEvents

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een gebruiker die via schermdeling is verbonden, kan Apple events versturen naar de sessie van een lokale gebruiker

    Beschrijving: er was een probleem met de filtering van Apple events waardoor bepaalde gebruikers events konden versturen naar andere gebruikers. Dit probleem is verholpen door een verbeterde verwerking van Apple events.

    CVE-ID

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Audio

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • bash

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in bash

    Beschrijving: er waren meerdere kwetsbaarheden in versies van batch lager dan 3.2 patchniveau 57. Deze problemen zijn verholpen door bash-versie 3.2 bij te werken naar patchniveau 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: update voor het certificaatvertrouwensbeleid

    Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u op https://support.apple.com/nl-nl/HT202858.

  • CFNetwork-cookies

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden

    Beschrijving: er was een probleem met cookies tussen verschillende domeinen bij de verwerking van domeinen van het hoogste niveau. Het probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork FTPProtocol

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: kwaadaardige FTP-servers kunnen ervoor zorgen dat de client andere hosts gaat verkennen

    Beschrijving: er was een probleem bij de verwerking van FTP-pakketten wanneer het PASV-commando werd gebruikt. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTP-protocol

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadwillig vervaardigde URL kan mogelijk HSTS omzeilen en vertrouwelijke gegevens vrijgeven

    Beschrijving: er was een kwetsbaarheid tijdens het parseren van URL’s bij de verwerking van HSTS. Dit probleem is verholpen door een verbeterde parsering van URL's.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork HTTP-protocol

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen

    Beschrijving: er was een probleem bij de verwerking van de vooraf geladen HSTS-lijstgegevens in de privémodus van Safari. Dit probleem is verholpen door een verbeterde verwerking van de status.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi van University of Luxembourg

  • CFNetwork HTTP-protocol

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardige website kan gebruikers in de privémodus van Safari volgen

    Beschrijving: er was een probleem bij de verwerking van de HSTS-status in de privémodus van Safari. Dit probleem is verholpen door een verbeterde verwerking van de status.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh van RadicalResearch Ltd

  • CFNetwork-proxy's

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: verbinden met een kwaadaardige webproxy kan kwaadaardige cookies voor een website instellen

    Beschrijving: er was een probleem bij de verwerking van reacties op verbindingen met een proxy. Dit probleem is verholpen door de Set-Cookie headers te verwijderen tijdens het parseren van de reacties op verbindingen.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen

    Beschrijving: er was een probleem met de validatie van het certificaat in NSURL wanneer een certificaat werd gewijzigd. Dit probleem is verholpen door een verbeterde validatie van certificaten.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood van The Omni Group

  • CFNetwork SSL

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller kan gegevens decoderen die met SSL zijn beveiligd

    Beschrijving: er zijn bekende aanvallen op de vertrouwelijkheid van RC4. Zelfs als de server de voorkeur geeft aan betere codes, kan een aanvaller het gebruik van RC4 forceren door verbindingen via TLS 1.0 en hoger te blokkeren tot CFNetwork de verbinding via SSL 3.0 probeert (waarbij alleen RC4 is toegestaan). Dit probleem is verholpen door de terugval op SSL 3.0 te verwijderen.

  • CoreCrypto

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller kan een private sleutel bepalen

    Beschrijving: door talrijke pogingen tot ondertekenen of decoderen te observeren, kon een aanvaller de private RSA-sleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.

  • CoreText

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5876: beist van grayhash

  • Dev Tools

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een programma kan de codeondertekening omzeilen

    Beschrijving: er was een probleem met de validatie van codeondertekening bij uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5839: @PanguTeam

  • Schijfkopieën

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een programma kan de codeondertekening omzeilen

    Beschrijving: er was een probleem met de validatie van codeondertekening bij uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig programma kan voorkomen dat bepaalde systemen opstarten

    Beschrijving: er was een probleem met de adressen die door het register van het beveiligde bereik waren opgenomen. Dit probleem is verholpen door het beveiligde bereik te wijzigen.

    CVE-ID

    CVE-2015-5900: Xeno Kovah & Corey Kallenberg van LegbaCore

  • EFI

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardige Apple Ethernet Thunderbolt-adapter kan het flashen van firmware beïnvloeden

    Beschrijving: Apple Ethernet Thunderbolt-adapters kunnen de hostfirmware wijzigen als ze tijdens een EFI-update worden aangesloten. Dit probleem is verholpen door optie-ROM’s tijdens updates niet te laden.

    CVE-ID

    CVE-2015-5914: Trammell Hudson van Two Sigma Investments and snare

  • Finder

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: de functie ‘Leeg prullenmand veilig’ verwijdert bestanden in de prullenmand mogelijk niet veilig

    Beschrijving: er was een probleem met de gegarandeerde veilige verwijdering van bestanden in de prullenmand op bepaalde systemen, zoals deze met flashopslag. Dit probleem is verholpen door de optie ‘Leeg prullenmand veilig’ te verwijderen.

    CVE-ID

    CVE-2015-5901: Apple

  • Game Center

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig Game Center-programma heeft mogelijk toegang tot het e-mailadres van een speler

    Beschrijving: er was een probleem bij de verwerking van het e-mailadres van een speler in Game Center. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller kan mogelijk Kerberos-inloggegevens opnieuw doorgeven aan de SMB-server

    Beschrijving: er was een probleem met de identiteitscontrole voor Kerberos-inloggegevens. Dit probleem is verholpen door een extra validatie van inloggegevens via een lijst met recent gebruikte inloggegevens.

    CVE-ID

    CVE-2015-5913: Tarun Chopra van Microsoft Corporation, U.S. en Yu Fan van Microsoft Corporation, China

  • ICU

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in ICU

    Beschrijving: er waren meerdere kwetsbaarheden in versies van ICU lager dan 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand van Google Project Zero

  • Install Framework Legacy

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan mogelijk rootbevoegdheden verkrijgen

    Beschrijving: er was een probleem met beperkingen bij het private Install-framework dat een geprivilegieerd uitvoerbaar bestand. Dit probleem is verholpen door het uitvoerbare bestand te verwijderen.

    CVE-ID

    CVE-2015-5888: Apple

  • Intel Graphics Driver

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in het grafische besturingsbestand van Intel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in IOAudioFamily dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door kernel pointers te permuteren.

    CVE-ID

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de kernel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5871: Ilja van Sprundel van IOActive

    CVE-2015-5872: Ilja van Sprundel van IOActive

    CVE-2015-5873: Ilja van Sprundel van IOActive

    CVE-2015-5890: Ilja van Sprundel van IOActive

  • IOGraphics

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in IOGraphics dat mogelijk heeft geleid tot de vrijgave van de lay-out van het kernelgeheugen. Dit probleem is verholpen door een verbeterd geheugenbeheer.

    CVE-ID

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in IOHIDFamily. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5866: Apple

    CVE-2015-5867: moony li van Trend Micro

  • IOStorageFamily

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale aanvaller kan mogelijk het kernelgeheugen lezen

    Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel van IOActive

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de kernel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard van m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokaal proces kan andere processen wijzigen zonder controle van de bevoegdheden

    Beschrijving: er was een probleem waarbij rootprocessen die de API processor_set_tasks gebruikten, de taakpoorten van andere processen mochten opvragen. Dit probleem is verholpen door extra controles van de bevoegdheden.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça in samenwerking met het oorspronkelijke onderzoek van Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale aanvaller kan de waarde van stack-cookies beheren

    Beschrijving: er waren meerdere kwetsbaarheden bij de aanmaak van stack cookies in gebruikersruimtes. Deze problemen zijn verholpen door een verbeterde aanmaak van stack cookies.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller kan Denial of Service-aanvallen op doelgerichte TCP-verbindingen starten zonder het juiste reeksnummer te weten

    Beschrijving: er was een probleem met de validatie van headers van TCP-pakketten in xnu. Dit probleem is verholpen door een verbeterde validatie van headers van TCP-pakketten.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen

    Beschrijving: er was een probleem met onvoldoende validatie bij de verwerking van IPv6-routeraankondigingen waardoor een aanvaller de hoplimiet kon instellen op een willekeurige waarde. Dit probleem is verholpen door een minimale hoplimiet op te leggen.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen

    Beschrijving: er was een probleem dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een verbeterde initialisatie van kernelgeheugenstructuren.

    CVE-ID

    CVE-2015-5842: beist van grayhash

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in foutopsporingsinterfaces dat leidde tot de vrijgave van de inhoud van het geheugen. Dit probleem is verholpen door de uitvoer van foutopsporingsinterfaces op te schonen.

    CVE-ID

    CVE-2015-5870: Apple

  • Kernel

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan zorgen voor een Denial of Service van het systeem

    Beschrijving: er was een probleem met het statusbeheer in de foutopsporingsfunctionaliteit. Dit probleem is verholpen door een verbeterde validatie.

    CVE-ID

    CVE-2015-5902: Sergi Alvarez (pancake) van NowSecure Research Team

  • libc

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

    Beschrijving: er was een probleem met geheugenbeschadiging in de fflush-functie. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2014-8611: Adrian Chadd and Alfred Perlstein van Norse Corporation

  • libpthread

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team

  • libxpc

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: vele SSH-verbindingen kunnen een Denial of Service veroorzaken

    Beschrijving: launchd had geen limiet voor het aantal processen dat via een netwerkverbinding kon worden gestart. Dit probleem is verholpen door het aantal SSH-processen te beperken tot 40.

    CVE-ID

    CVE-2015-5881: Apple

  • Inlogvenster

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: de schermvergrendeling wordt mogelijk na de opgegeven tijd niet geactiveerd

    Beschrijving: er was een probleem met een vastgelegde schermvergrendeling. Het probleem is verholpen door een verbeterde verwerking van de vergrendeling.

    CVE-ID

    CVE-2015-5833: Carlos Moreira, Rainer Dorau van rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera en Jon Hall van Asynchrony

  • lukemftpd

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een externe aanvaller kan ervoor zorgen dat service aan de FTP-server wordt geweigerd

    Beschrijving: er was een glob-verwerkingsprobleem in tnftpd. Dit probleem is verholpen door een verbeterde glob-validatie.

    CVE-ID

    CVE-2015-5917: Maksymilian Arciemowicz van cxsecurity.com

  • Mail

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: het afdrukken van een e-mail kan vertrouwelijke gebruikersgegevens vrijgeven

    Beschrijving: er was een probleem in Mail waardoor tijdens het afdrukken van e-mails gebruikersvoorkeuren werden genegeerd. Dit probleem is verholpen door een verbeterde oplegging van gebruikersvoorkeuren.

    CVE-ID

    CVE-2015-5881: Owen DeLong van Akamai Technologies, Noritaka Kamiya, Dennis Klein uit Eschenburg, Duitsland, Jeff Hammett van Systim Technology Partners

  • Mail

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan bijlagen onderscheppen van S/MIME-gecodeerde e-mails die via Mail Drop zijn verstuurd

    Beschrijving: er was een probleem bij de verwerking van coderingsparameters voor grote e-mailbijlagen die via Mail Drop werden verstuurd. Het probleem is verholpen door Mail Drop niet meer aan te bieden bij het versturen van een gecodeerde e-mail.

    CVE-ID

    CVE-2015-5884 : John McCombs van Integrated Mapping Ltd

  • Multipeer Connectivity

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale aanvaller kan mogelijk onbeveiligde multipeergegevens observeren

    Beschrijving: er was een probleem bij de verwerking door de initialisator waardoor de codering actief kon worden gedowngraded naar een niet-gecodeerde sessie. Dit probleem is verholpen door de initialisator zo te wijzigen dat codering verplicht is.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) van Data Theorem

  • NetworkExtension

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

    Beschrijving: een probleem met een niet-geïnitialiseerd geheugen in de kernel leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door een verbeterde geheugeninitialisatie.

    CVE-ID

    CVE-2015-5831: Maxime Villard van m00nbsd

  • Opmerkingen

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven

    Beschrijving: er was een probleem bij het parseren van koppelingen in het programma Notities. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5878: Craig Young of Tripwire VERT, een anonieme onderzoeker

  • Opmerkingen

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven

    Beschrijving: er was een cross-site scripting-probleem bij het parseren van tekst door de Notities-app. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5875: xisigr van Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in OpenSSH

    Beschrijving: er waren meerdere kwetsbaarheden in versies van OpenSSH lager dan 6.9. Deze problemen zijn verholpen door OpenSSH bij te werken naar versie 6.9.

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in OpenSSL

    Beschrijving: er waren meerdere kwetsbaarheden in versies van OpenSSL lager dan 0.9.8zg. Deze zijn verholpen door OpenSSL bij te werken naar versie 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in procmail

    Beschrijving: er waren meerdere kwetsbaarheden in versies van procmail lager dan 3.22. Deze problemen zijn verholpen door procmail te verwijderen.

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met rootbevoegdheden

    Beschrijving: er was een probleem bij het gebruik van omgevingsvariabelen door het binaire rsh-bestand. Dit probleem is verholpen door setuid-bevoegheden van het binaire rsh-bestand te verwijderen.

    CVE-ID

    CVE-2015-5889: Philip Pettersson

  • removefile

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma

    Beschrijving: er was een overflow-fout in de delingsroutines van checkint. Dit probleem is verholpen door verbeterde delingsroutines.

    CVE-ID

    CVE-2015-5840: een anonieme onderzoeker

  • Ruby

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in Ruby

    Beschrijving: er waren meerdere kwetsbaarheden in versies van Ruby lager dan 2.0.0p645. Deze zijn verholpen door Ruby bij te werken naar versie 2.0.0p645.

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Beveiliging

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: de vergrendelde status van de sleutelhanger wordt mogelijk onjuist getoond aan de gebruiker

    Beschrijving: er was een probleem met het statusbeheer bij de manier waarop de vergrendelde status van de sleutelhanger werd bijgehouden. Dit probleem is verholpen door een verbeterd statusbeheer.

    CVE-ID

    CVE-2015-5915: Peter Walz of University van Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Beveiliging

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een geconfigureerde vertrouwensevaluatie om de intrekkingscontrole te verplichten, lukt mogelijk zelfs als de intrekkingscontrole mislukt

    Beschrijving: de vlag kSecRevocationRequirePositiveResponse is opgegeven maar niet geïmplementeerd. Het probleem is verholpen door de vlag te implementeren.

    CVE-ID

    CVE-2015-5894: Hannes Oud van kWallet GmbH

  • Beveiliging

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een externe server vraagt mogelijk een certificaat voordat deze zichzelf identificeert

    Beschrijving: Secure Transport aanvaardde het CertificateRequest-bericht vóór het ServerKeyExchange-bericht. Dit probleem is verholpen door eerst ServerKeyExchange te vragen.

    CVE-ID

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti en Jean Karim Zinzindohoue van INRIA Paris-Rocquencourt, en Cedric Fournet en Markulf Kohlweiss van Microsoft Research, Pierre-Yves Strub van IMDEA Software Institute

  • SMB

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5891: Ilja van Sprundel van IOActive

  • SMB

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale gebruiker kan de indeling van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in SMBClient dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5893: Ilja van Sprundel van IOActive

  • SQLite

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: meerdere kwetsbaarheden in SQLite v3.8.5

    Beschrijving: er waren meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefonie

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale aanvaller kan bellen zonder medeweten van de gebruiker wanneer Continuïteit wordt gebruikt

    Beschrijving: er was een probleem met de autorisatiecontroles bij het bellen. Dit probleem is verholpen door verbeterde autorisatiecontroles.

    CVE-ID

    CVE-2015-3785: Dan Bastone van Gotham Digital Science

  • Terminal

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: kwaadwillig vervaardigde tekst kan de gebruiker misleiden in Terminal

    Beschrijving: Terminal verwerkte niet de bidirectionele negeertekens op dezelfde manier als bij de weergave en selectie van tekst. Dit probleem is verholpen door bidirectionele negeertekens in Terminal achterwege te laten.

    CVE-ID

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in tidy. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz van NULLGroup.com

    CVE-2015-5523: Fernando Muñoz van NULLGroup.com

  • Time Machine

    Beschikbaar voor: Mac OS X v10.6.8 en hoger

    Impact: een lokale aanvaller kan toegang verkrijgen tot sleutelhangeronderdelen

    Beschrijving: er was een probleem bij reservekopieën gemaakt door het Time Machine-framework. Dit probleem is verholpen door een verbeterde dekking van Time Machine-reservekopieën.

    CVE-ID

    CVE-2015-5854: Jonas Magazinius van Assured AB

Opmerking: OS X El Capitan v10.11 bevat de beveiligingsinhoud van Safari 9.

 

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: