Om sikkerhetsinnholdet i OS X Yosemite v10.10.5 og sikkerhetsoppdatering 2015-006
Dette dokumentet beskriver sikkerhetsinnholdet i OS X Yosemite v10.10.5 og Sikkerhetsoppdatering 2015-006.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.
Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.
OS X Yosemite v10.10.5 og sikkerhetsoppdatering 2015-006
Apache
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Det var flere sårbarheter i Apache 2.4.16, der den mest alvorlige kunne tillate at en angriper forårsaket nekting av tjeneste
Beskrivelse: Det var flere sårbarheter i Apache-versjonene før 2.4.16. Disse ble rettet ved å oppdatere Apache til versjon 2.4.16.
CVE-ID
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Det var mange sårbarheter i PHP 5.5.20, og den alvorligste kan forårsake kjøring av vilkårlig kode
Beskrivelse: Det var flere sårbarheter i PHP-versjonene før 5.5.20. Disse ble rettet ved å oppdatere Apache til versjon 5.5.27.
CVE-ID
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Apple ID OD-tillegg
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et ondsinnet program kan bli i stand til å endre passordet for en lokal bruker
Beskrivelse: I enkelte tilfeller var det et tilstandshåndteringsproblem i passordgodkjenning. Problemet ble løst ved forbedret tilstandshåndtering.
CVE-ID
CVE-2015-3799: en anonym forsker som arbeider med HPs Zero Day Initiative
AppleGraphicsControl
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen
Beskrivelse: Det var et problem i AppleGraphicsControl som kunne ha ført til avdekking av layouten til kjernehukommelsen. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5768 : JieTao Yang fra KeenTeam
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i IOBluetoothHCIController. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3779 : Teddy Reed fra Facebook Security
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen
Beskrivelse: Et problem med håndteringen av hukommelse kunne ha ført til fremlegging av layouten til kjernehukommelsen. Problemet ble løst med forbedret håndtering av hukommelsen.
CVE-ID
CVE-2015-3780 : Roberto Paleari og Aristide Fattori fra Emaze Networks
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En skadelig app kan få tilgang til varsler fra andre iCloud-enheter
Beskrivelse: Det var et problem der en skadelig app kunne få tilgang til Varslingssenter-varsler for en Bluetooth-sammenkoblet Mac eller iOS-enhet via Apple Varslingssenter-tjenesten. Problemet berørte enheter som bruker Handoff og logget på samme iCloud-konto. Problemet ble løst ved å trekke tilbake tilgang til Apple Varslingssenter-tjenesten.
CVE-ID
CVE-2015-3786 : Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En angriper med privilegert nettverksplassering kan være i stand til å utføre et tjenestenektangrep ved å bruke feilformede Bluetooth-pakker
Beskrivelse: Det var et problem med validering av inndata i parsing av Bluetooth ACL-pakker. Dette problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-3787 : Trend Micro
Bluetooth
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med bufferoverflyt blueds håndtering av XPC-meldinger. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-3777 : mitp0sh of [PDX]
bootp
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig Wi-Fi-nettverk kan være i stand til å finne ut hvilke nettverk en enhet har hatt tilgang til tidligere
Beskrivelse: Etter tilkobling til et Wi-Fi-nettverk kan iOS ha kringkastet MAC-adresser til tidligere brukte nettverk via DNAv4-protokollen. Dette problemet ble løst ved å deaktivere DNAv4 i ukrypterte Wi-Fi-nettverk.
CVE-ID
CVE-2015-3778 : Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (på prosjektet EPSRC Being There)
CloudKit
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et ondsinnet program kan være i stand til å få tilgang til iCloud-brukerposten til en tidligere pålogget bruker
Beskrivelse: Det var en tilstandsinkonsistens i CloudKit når brukere logget av. Dette problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-3782 : Deepkanwal Plaha fra University of Toronto
CoreMedia Playback
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var problemer med ødelagt hukommelse i CoreMedia Playback. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5777 : Apple
CVE-2015-5778 : Apple
CoreText
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team
curl
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Flere sårbarheter i cURL og libcurl før 7.38.0, der en av dem kan tillate at eksterne angripere forbigår Same Origin Policy
Beskrivelse: Det var flere sårbarheter i cURL og libcurl før 7.38.0. Disse problemene ble løst ved å oppdatere cURL til versjon 7.43.0.
CVE-ID
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en sekvens med unicode-tegn kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var problemer med ødelagt hukommelse i behandlingen av Unicode-tegn. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5750 : M1x7e1 fra Safeye Team (www.safeye.org)
Valgruten for dato og tid
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Programmer som baserer seg på systemtid, kan ha uventet virkemåte
Beskrivelse: Det var et godkjenningsproblem ved endring av systemvalgene for dato og tid. Problemet ble løst med ekstra godkjenningskontroller.
CVE-ID
CVE-2015-3757 : Mark S C Smith
Ordliste-program
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En angriper med privilegert nettverksplassering kan være i stand til å avskjære brukernes spørringer i Ordliste-appen
Beskrivelse: Det var et problem i Ordliste-appen som ikke sikret brukerkommunikasjon ordentlig. Dette problemet ble løst ved å flytte Ordliste-spørringer til HTTPS.
CVE-ID
CVE-2015-3774 : Jeffrey Paul fra EEQJ, Jan Bee fra Google Security Team
Diskfiler
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig DMG-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av feilformede DMG-bilder. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3800 : Frank Graziano fra Yahoo Pentest Team
dyld
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et banevalideringsproblem i dyld. Dette ble løst gjennom forbedret miljørensing.
CVE-ID
CVE-2015-3760 : beist of grayhash, Stefan Esser
FontParser
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-3804 : Apple
CVE-2015-5775 : Apple
FontParser
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team
groff
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Flere problemer i pdfroff
Beskrivelse: Det var flere problemer i pdfroff, der det mest alvorlige kunne tillate vilkårlig endring av filsystemet. Disse problemene ble løst ved å fjerne pdfroff.
CVE-ID
CVE-2009-5044
CVE-2009-5078
ImageIO
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med skadet hukommelse i behandlingen av TIFF-bilder. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5758 : Apple
ImageIO
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Besøk på et skadelig nettsted kan resultere i fremlegging av prosesshukommelse
Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i ImageIOs håndtering av PNG- og TIFF-bilder. Besøk på skadelig nettsted kunne føre til sending av data fra prosesshukommelse til nettstedet. Dette problemet ble løst gjennom forbedret initialisering av hukommelse og ekstra validering av PNG- og TIFF-bilder.
CVE-ID
CVE-2015-5781 : Michal Zalewski
CVE-2015-5782 : Michal Zalewski
Eldre installeringsrammeverk
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter
Beskrivelse: Det var et problem med hvordan Install.frameworks «runner»-binære droppet rettigheter. Dette problemet ble løst ved forbedret rettighetshåndtering.
CVE-ID
CVE-2015-5784 : Ian Beer fra Google Project Zero
Eldre installeringsrammeverk
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var en race-tilstand i Install.frameworks «runner»-ninære som førte til at rettigheter feilaktig ble droppet. Dette problemet ble løst ved forbedret objektlåsing.
CVE-ID
CVE-2015-5754 : Ian Beer fra Google Project Zero
IOFireWireFamily
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var problemer med ødelagt hukommelse i IOFireWireFamily. Problemene ble løst gjennom ytterligere validering av inndata.
CVE-ID
CVE-2015-3769 : Ilja van Sprundel
CVE-2015-3771 : Ilja van Sprundel
CVE-2015-3772 : Ilja van Sprundel
IOGraphics
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i IOGraphics. Problemet ble løst gjennom ytterligere inndatavalidering.
CVE-ID
CVE-2015-3770 : Ilja van Sprundel
CVE-2015-5783 : Ilja van Sprundel
IOHIDFamily
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med bufferoverflyt i IOHIDFamily. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5774 : TaiG Jailbreak Team
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen
Beskrivelse: Det var et problem i mach_port_space_info-grensesnittet som kunne ha ført til fremlegging av kjernehukommelseslayout. Dette ble løst ved å deaktivere mach_port_space_info-grensesnittet.
CVE-ID
CVE-2015-3766 : Cererdlong fra Alibaba Mobile Security Team, @PanguTeam
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var heltallsoverflyt i håndteringen avIOKit-funksjoner. Dette problemet ble løst gjennom forbedret validering av IOKit API-argumenter.
CVE-ID
CVE-2015-3768 : Ilja van Sprundel
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan være i stand til å forårsake systemnekting av tjeneste
Beskrivelse: Det var et ressursuttømmingsproblem i fasttrap-driveren. Dette ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5747 : Maxime VILLARD fra m00nbsd
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan være i stand til å forårsake systemnekting av tjeneste
Beskrivelse: Det var et valideringsproblem i aktiveringen av HFS-volumer. Dette ble løst ved å legge inn ekstra kontroller.
CVE-ID
CVE-2015-5748 : Maxime VILLARD fra m00nbsd
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan bli i stand til å utføre usignert kode
Beskrivelse: Det var et problem som tillot at usignert kode ble føyd til signert kode i en spesialutformet utførbar fil. Problemet ble løst gjennom forbedret validering av kodesignaturer.
CVE-ID
CVE-2015-3806 : TaiG Jailbreak Team
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En spesialutformet utførbar fil kan tillate utføring av usignert, skadelig kode
Beskrivelse: Det var et problem i måten utførbare filer med flere arkitekturer ble evaluert på, og som kunne ha tillatt utføring av usignert kode. Problemet ble løst med forbedret validering av utførbare filer.
CVE-ID
CVE-2015-3803 : TaiG Jailbreak Team
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan kanskje utføre usignert kode
Beskrivelse: Det var et valideringsproblem i håndteringen av Mach-O-filer. Dette ble løst ved å legge inn ekstra kontroller.
CVE-ID
CVE-2015-3802 : TaiG Jailbreak Team
CVE-2015-3805 : TaiG Jailbreak Team
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av en skadelig plist kan føre til uventet avslutning av et program eller utføring av vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av feilformede plists. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3776 : Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany
Kjerne
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med banevalidering. Dette ble løst gjennom forbedret miljørensing.
CVE-ID
CVE-2015-3761 : Apple
Libc
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av et skadelig regulært uttrykk kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var problemer med ødelagt hukommelse i TRE-biblioteket. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3796 : Ian Beer fra Google Project Zero
CVE-2015-3797 : Ian Beer fra Google Project Zero
CVE-2015-3798 : Ian Beer fra Google Project Zero
Libinfo
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var problemer med ødelagt hukommelse i håndteringen av AF_INET6-sokler. Problemene ble løst ved forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5776 : Apple
libpthread
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av syscalls. Problemet ble løst gjennom forbedret låsetilstandskontroll.
CVE-ID
CVE-2015-5757 : Lufeng Li fra Qihoo 360
libxml2
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Det var flere sårbarheter i libxml2-versjoner før 2.9.2, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste
Beskrivelse: Det var flere sårbarheter i libxml2-versjoner før 2.9.2. Disse ble rettet ved å oppdatere libxml2 til versjon 2.9.2.
CVE-ID
CVE-2012-6685 : Felix Groebert fra Google
CVE-2014-0191 : Felix Groebert fra Google
libxml2
Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av et skadelig XML-dokument kan føre til fremlegging av brukerinformasjon
Beskrivelse: Det var et problem med hukommelsestilgang i libxml2. Dette ble løst med forbedret hukommelseshåndtering.
CVE-ID
CVE-2014-3660 : Felix Groebert fra Google
libxml2
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av et skadelig XML-dokument kan føre til fremlegging av brukerinformasjon
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av XML-filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3807 : Apple
libxpc
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av feilformede XPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-3795 : Mathew Rowley
mail_cmds
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å utføre vilkårlige shell-kommandoer
Beskrivelse: Det var et valideringsproblem i mailx-parsing av e-postadresser. Dette ble løst med forbedret rensing.
CVE-ID
CVE-2014-7844
Varslingssenter OSX
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Et skadelig program kan få tilgang til alle varsler som tidligere ble vist til brukere
Beskrivelse: Det var et problem i Varslingssenter som førte til at brukervarsler ikke ble slettet riktig. Dette problemet ble løst ved riktig sletting av varsler som er lukket av brukere.
CVE-ID
CVE-2015-3764 : Jonathan Zdziarski
ntfs
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i NTFS. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5763 : Roberto Paleari og Aristide Fattori fra Emaze Networks
OpenSSH
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Eksterne angripere kan bli i stand til å omgå en tidsforsinkelse for mislykkede påloggingsforsøk og utføre angrep med rå kraft
Beskrivelse: Det var et problem med behandlingen av tastatur-interaktive enheter. Dette problemet ble løst gjennom forbedret validering av godkjenningsforespørsler.
CVE-ID
CVE-2015-5600
OpenSSL
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste
Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.
CVE-ID
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av et skadelig regulært uttrykk kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var en heltallsunderflyt i måten Perl parset regulære uttrykk på. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2013-7422
PostgreSQL
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: En angriper kan bli i stand til å forårsake uventet avslutning av et program eller få tilgang til data uten riktig godkjenning
Beskrivelse: Det var flere problemer i PostgreSQL 9.2.4. Disse problemene ble løst ved å oppdatere PostgreSQL til 9.2.13.
CVE-ID
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Det var mange sårbarheter i Python 2.7.6, og den alvorligste kan forårsake kjøring av vilkårlig kode
Beskrivelse: Det var flere sårbarheter i Python-versjonene før 2.7.6. Disse ble rettet ved å oppdatere Python til versjon 2.7.10.
CVE-ID
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av Office-dokumenter. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5773 : Apple
QL Office
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av en skadelig XML-fil kan føre til fremlegging av brukerinformasjon
Beskrivelse: Det var et problem med ekstern enhetsreferanse i XML-filparsing. Dette problemet ble løst ved forbedret parsing.
CVE-ID
CVE-2015-3784 : Bruno Morisson fra INTEGRITY S.A.
Quartz Composer Framework
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av en skadelig QuickTime-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av QuickTime-filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-5771 : Apple
Hurtigvisning
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Søk etter et tidligere vist nettsted kan starte nettleseren og gjengi det nettstedet
Beskrivelse: Det var et problem der QuickLook hadde mulighet til å utføre JavaScript. Problemet ble løst ved ikke å tillate utføring av JavaScript.
CVE-ID
CVE-2015-3781 : Andrew Pouliot fra Facebook, Anto Loyola fra Qubole
QuickTime 7
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse i QuickTime. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753 : Apple
CVE-2015-5779 : Apple
QuickTime 7
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med ødelagt hukommelse i QuickTime. Problemene ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3765 : Joe Burnett fra Audio Poison
CVE-2015-3788 : Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3789 : Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3790 : Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3791 : Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-3792 : Ryan Pentney og Richard Johnson fra Cisco Talos
CVE-2015-5751 : WalkerFuz
SceneKit
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Visning av en skadelig Collada-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var heap-bufferoverflyt i SceneKits håndtering av Collada-filer. Dette problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5772 : Apple
SceneKit
Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i SceneKit. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3783 : Haris Andrianakis fra Google Security Team
Sikkerhet
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En standardbruker kan få tilgang til administratorrettigheter uten ordentlig godkjenning
Beskrivelse: Det var et problem med håndteringen av brukergodkjenning. Dette problemet ble løst ved forbedret autentiseringskontroll.
CVE-ID
CVE-2015-3775 : [Eldon Ahrold]
SMBClient
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i SMB-klienten. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3773 : Ilja van Sprundel
Speech UI
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av en skadelig unicode-streng med talevarsler aktivert, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av Unicode-strenger. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3794 : Adam Greenbaum fra Refinitive
sudo
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Det var flere sårbarheter i sudo-versjoner før 1.7.10p9, der den mest alvorlige kunne gi en angriper tilgang til vilkårlige filer
Beskrivelse: Det var flere sårbarheter i sudo-versjoner før 1.7.10p9. Disse ble løst ved å oppdatere sudo til versjon 1.7.10p9.
CVE-ID
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Det var flere sårbarheter i tcpdump 4.7.3, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste
Beskrivelse: Det var flere sårbarheter i tcpdump-versjonene før 4.7.3. Disse ble rettet ved å oppdatere tcpdump til versjon 4.7.3.
CVE-ID
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Tekstformater
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Parsing av en skadelig tekstfil kan føre til fremlegging av brukerinformasjon
Beskrivelse: Det var et XML- problem med ekstern enhetsreferanse i TextEdit-parsing. Dette problemet ble løst ved forbedret parsing.
CVE-ID
CVE-2015-3762 : Xiaoyong Wu fra Evernote Security Team
udf
Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4
Virkning: Behandling av en skadelig DMG-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres med systemrettigheter
Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av feilformede DMG-bilder. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.
CVE-ID
CVE-2015-3767 : beist fra grayhash
OS X Yosemite v10.10.5 inkluderer sikekrhetsinnholdet i Safari 8.0.8.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.