Om sikkerhetsinnholdet i OS X El Capitan v10.11.
Dette dokumentet beskriver sikkerhetsinnholdet i OS X El Capitan v10.11.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple-produktsikkerhet på nettstedet Apple-produktsikkerhet.
Finn ut mer om PGP-nøkkelen for Apple-produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.
OS X El Capitan v10.11
Adressebok
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan være i stand til å injisere vilkårlig kode i prosesser som laster Adressebok-rammeverket
Beskrivelse: Det var et problem i Adressebok-rammeverkets håndtering av en miljøvariabel. Problemet ble løst med forbedret miljøvariabelhåndtering.
CVE-ID
CVE-2015-5897 : Dan Bastone fra Gotham Digital Science
AirScan
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper med en privilegert nettverksplassering kan være i stand til å trekke ut nyttelast fra eSCL-pakker som sendes via en sikker tilkobling
Beskrivelse: Det var et problem i behandlingen av eSCL-pakker. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5853: en anonym forsker
apache_mod_php
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i PHP
Beskrivelse: Det var flere sårbarheter i PHP-versjoner før 5.5.27, inkludert en som kan ha ført til ekstern utføring av kode. Problemet ble løst ved å oppdatere PHP til versjon 5.5.27.
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store Kit
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan få tilgang til en brukers nøkkelringobjekter
Beskrivelse: Det var et problem med valideringen av tilgangskontrollister for iCloud-nøkkelringobjekter. Problemet ble løst gjennom forbedret kontroll av tilgangskontrollister.
CVE-ID
CVE-2015-5836 : XiaoFeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University
AppleEvents
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En bruker som er tilkoblet gjennom skjermdeling, kan sende Apple Events til en lokal brukers økt
Beskrivelse: Det var et problem med Apple Event-filtrering som tillot at noen brukere kunne sende Events til andre brukere. Dette ble løst gjennom forbedret Apple Event-håndtering.
CVE-ID
CVE-2015-5849 : Jack Lawrence (@_jackhl)
Lyd
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program
Beskrivelse: Det var et problem med skadet minne i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea
bash
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i bash
Beskrivelse: Det var flere sårbarheter i bash-versjoner før 3.2 oppdateringsnivå 57. Problemene ble løst ved å oppdatere bash versjon 3.2 til oppdateringsnivå 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT202858.
CFNetwork-informasjonskapsler
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av domener på øverste nivå. Problemet ble løst gjennom forbedrede restriksjoner for oppretting av informasjonskapsler.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork FTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Skadelige FTP-tjenere kan være i stand til å forårsake at klienten utfører rekognosering på andre verter
Beskrivelse: Det var et problem i håndteringen av FTP-pakker når PASV-kommandoen ble brukt. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En skadelig URL-adresse kan være i stand til å forbigå HSTS og lekke følsomme data
Beskrivelse: Det var en sårbarhet i URL-parsing i HSTS-håndteringen. Problemet ble løst gjennom forbedret URL-analyse.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork HTTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære nettverkstrafikk
Beskrivelse: Det var et problem i håndteringen av oppføringer i HSTS-forhåndslastingslisten i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5859 : Rosario Giustolisi fra University of Luxembourg
CFNetwork HTTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus
Beskrivelse: Det var et problem i håndteringen av HSTS-tilstanden i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd
CFNetwork-proxyer
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Tilkobling til en skadelig webproxytjener kan angi skadelige informasjonskapsler for et nettsted
Beskrivelse: Det var et problem i håndteringen av proxytilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork SSL
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-forbindelser
Beskrivelse: Det var problem med sertifikatvalidering i NSURL når et sertifikat ble endret. Problemet ble løst gjennom forbedret validering av sertifikater.
CVE-ID
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork SSL
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan dekryptere data som er beskyttet av SSL
Beskrivelse: Det er kjente angrep på konfidensialiteten til RC4. En angriper kunne framtvinge bruk av RC4, selv om en tjener foretrakk bedre chiffrering, ved å blokkere TLS 1.0- og høyere tilkoblinger til CFNetwork forsøkte SSL 3.0, som bare tillater RC4. Problemet ble løst ved å fjerne muligheten til å ta steget ned til SSL 3.0.
CoreCrypto
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan være i stand til å fastslå en privat nøkkel
Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper ha vært i stand til å fastslå den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.
CoreText
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Dev Tools
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i dyld. Dette ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5876 : beist fra grayhash
Dev Tools
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et program kan kanskje omgå kodesigneringskontroller
Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5839 : @PanguTeam
Diskfiler
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et program kan kanskje omgå kodesigneringskontroller
Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5839 : TaiG Jailbreak Team
EFI
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan hindre noen systemer i å starte opp
Beskrivelse: Det var et problem med adressene som var dekket av det beskyttede områderegisteret. Problemet ble løst ved å endre det beskyttede området.
CVE-ID
CVE-2015-5900 : Xeno Kovah og Corey Kallenberg fra LegbaCore
EFI
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En skadelig Apple Ethernet Thunderbolt-adapter kan være i stand til å påvirke firmware-flashing
Beskrivelse: Apple Ethernet Thunderbolt-adaptere kunne modifisere vertsfirmware hvis de ble koblet til under en EFI-oppdatering. Problemet ble løst ved ikke å laste inn Option ROMs under oppdatering.
CVE-ID
CVE-2015-5914 : Trammell Hudson fra Two Sigma Investments og snare
Finder
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Funksjonen «Sikker tømming» sletter kanskje ikke filer i papirkurven på en sikker måte
Beskrivelse: Det var et problem med å garantere sikker sletting av filer i papirkurven i enkelte systemer, slik som dem med flash-lager. Problemet ble løst ved å fjerne valget «Sikker tømming».
CVE-ID
CVE-2015-5901 : Apple
Game Center
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig Game Center-program kan skaffe seg tilgang til en spillers e-postadresse
Beskrivelse: Det var et problem i Game Center med håndtering av spilleres e-post. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.
CVE-ID
CVE-2015-5855: Nasser Alnasser
Heimdal
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan være i stand til å bruke på nytt Kerberos-legitimasjon til SMB-tjeneren
Beskrivelse: Det var et godkjenningsproblem i Kerberos-legitimasjon. Problemet ble løst gjennom ekstra validering av legitimasjon ved bruk av en liste med legitimasjoner som nylig er sett.
CVE-ID
CVE-2015-5913 : Tarun Chopra fra Microsoft Corporation USA og Yu Fan fra Microsoft Corporation Kina
ICU
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i ICU
Beskrivelse: Det var flere sårbarheter i ICU-versjonene før 53.1.0. Problemene ble løst ved å oppdatere ICU til versjon 55.1.
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand fra Google Project Zero
Eldre installeringsrammeverk
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan få rotrettigheter
Beskrivelse: Det var et restriksjonsproblem i Installer privat rammeverk som inneholder en privilegert utførbar fil. Problemet ble løst ved å fjerne den utførbare filen.
CVE-ID
CVE-2015-5888 : Apple
Intel Graphics-driver
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere problemer med skadet minne i Intel-grafikkdriveren. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5830 : Yuki MIZUNO (@mzyy94)
CVE-2015-5877 : Camillus Gerard Cai
IOAudioFamily
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i IOAudioFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst ved å permutere kjernepekere.
CVE-ID
CVE-2015-5864 : Luca Todesco
IOGraphics
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var flere problemer med skadet minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5871 : Ilja van Sprundel fra IOActive
CVE-2015-5872 : Ilja van Sprundel fra IOActive
CVE-2015-5873 : Ilja van Sprundel fra IOActive
CVE-2015-5890 : Ilja van Sprundel fra IOActive
IOGraphics
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i IOGraphics som kunne ha ført til avdekking av layouten til kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5865 : Luca Todesco
IOHIDFamily
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere problemer med skadet minne i IOHIDFamily. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5866 : Apple
CVE-2015-5867: moony li fra Trend Micro
IOStorageFamily
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan være i stand til å lese kjerneminne
Beskrivelse: Det var et problem med initialisering av minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel fra IOActive
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var flere problemer med skadet minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal prosess kan endre andre prosesser uten berettigelseskontroller
Beskrivelse: Det var et problem der rotprosesser som benyttet API-et processor_set_tasks kunne hente oppgaveportene til andre prosesser. Problemet ble løst gjennom ekstra rettighetskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça på grunnlag av opprinnelige undersøkelser utført av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan styre verdien til stakkinformasjonskapsler
Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler for brukerplass. Disse problemene ble løst gjennom forbedret generering av stakkinformasjonskapsler.
CVE-ID
CVE-2013-3951: Stefan Esser
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan være i stand til å starte tjenestenektangrep på utpekte TCP-forbindelser uten å kunne det riktige sekvensnummeret
Beskrivelse: Det var et problem i xnus validering av TCP-pakkehoder. Problemet ble løst gjennom forbedret validering av TCP-pakkehoder.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting
Beskrivelse: Det var et problem med utilstrekkelig validering i håndteringen av iPv6-ruterannonseringer som tillot en angriper å sette hoppgrensen til en vilkårlig verdi. Problemet ble løst ved å innføre en minste hoppgrense.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem som førte til avdekking av layout i kjerneminnet. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.
CVE-ID
CVE-2015-5842: beist fra grayhash
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i feilsøkingsgrensesnitt som førte til avdekking av innhold i minnet. Problemet ble løst ved å slette midlertidige utdata fra feilsøkingsgrensesnitt.
CVE-ID
CVE-2015-5870 : Apple
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet
Beskrivelse: Det var et problem i feilsøkingsfunksjonaliteten. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5902 : Sergi Alvarez (pancake) fra NowSecure Research Team
libc
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i fflush-funksjonen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation
libpthread
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
libxpc
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Mange SSH-tilkoblinger kunne forårsake tjenestenekt
Beskrivelse: launchd hadde ikke noen grense for antall prosesser som kunne startes av en nettverkstilkobling. Problemet ble løst ved å begrense antall SSH-prosesser til 40.
CVE-ID
CVE-2015-5881 : Apple
Påloggingsvindu
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode
Beskrivelse: Det var et problem med oppfanget skjermlåsing. Problemet ble løst gjennom forbedret håndtering av låsing.
CVE-ID
CVE-2015-5833 : Carlos Moreira, Rainer Dorau fra rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera og Jon Hall fra Asynchrony
lukemftpd
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En ekstern angriper kan være i stand til å nekte tjeneste til FTP-tjeneren
Beskrivelse: Det var et glob-behandlingsproblem i tnftpd. Problemet ble løst gjennom forbedret glob-validering.
CVE-ID
CVE-2015-5917 : Maksymilian Arciemowicz fra cxsecurity.com
Mail
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Utskrift av en e-postmelding kan føre til lekkasje av sensitiv brukerinformasjon
Beskrivelse: Det var et problem i Mail som hoppet over brukervalg ved utskrift av e-post. Problemet ble løst gjennom forbedret håndhevelse av brukervalg.
CVE-ID
CVE-2015-5881 : Owen DeLong fra Akamai Technologies, Noritaka Kamiya, Dennis Klein fra Eschenburg, Tyskland, Jeff Hammett fra Systim Technology Partners
Mail
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å fange opp vedlegg i S/MIME-kryptert e-post som sendes via Mail Drop
Beskrivelse: Det var et problem i håndteringen av krypteringsparametere for store e-postvedlegg som ble sendt via Mail Drop. Problemet ble løst ved å ikke lenger tilby Mail Drop ved sending av kryptert e-post.
CVE-ID
CVE-2015-5884 : John McCombs fra Integrated Mapping Ltd
Multipeer-kommunikasjon
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan være i stand til å observere ubeskyttede multipeer-data
Beskrivelse: Det var et problem med håndteringen av «convenience initializer», der krypteringen aktivt kunne nedgraderes til en ukryptert økt. Problemet ble løst ved å endre «convenience initializer», slik at kryptering er påkrevd.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem
NetworkExtension
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et problem med ikke-initialisert minne i kjernen førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret initialisering av minnet.
CVE-ID
CVE-2015-5831: Maxime Villard fra m00nbsd
Notater
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med parsing av koblinger i Notater-programmet. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5878 : Craig Young fra Tripwire VERT, en anonym forsker
Notater
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med skripting på tvers av nettsteder ved parsing av tekst i Notater-programmet. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5875 : xisigr fra Tencents Xuanwu LAB (www.tencent.com)
OpenSSH
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i OpenSSH
Beskrivelse: Det var flere sårbarheter i OpenSSH-versjonene før 6.9. Disse ble rettet ved å oppdatere OpenSSH til versjon 6.9.
CVE-ID
CVE-2014-2532
OpenSSL
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i OpenSSL
Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i procmail
Beskrivelse: Det var flere sårbarheter i procmail-versjoner før 3.22. Disse ble løst ved å fjerne procmail.
CVE-ID
CVE-2014-3618
remote_cmds
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med rotrettigheter
Beskrivelse: Det var et problem med bruken av miljøvariabler i rsh binary. Problemet ble løst ved å droppe setuid-privilegier fra rsh binary.
CVE-ID
CVE-2015-5889 : Philip Pettersson
removefile
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Behandling av skadelige data kan føre til uventet avslutning av et program
Beskrivelse: Det var en overflytfeil i checkint-delingsrutinene. Problemet ble løst gjennom forbedrede delingsrutiner.
CVE-ID
CVE-2015-5840: en anonym forsker
Ruby
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i Ruby
Beskrivelse: Det var flere sårbarheter i Ruby-versjoner før 2.0.0p645. Disse ble løst ved å oppdatere Ruby til versjon 2.0.0p645.
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Sikkerhet
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Låsetilstanden til nøkkelringen kan vises feil for brukeren
Beskrivelse: Det var et problem med tilstandsadministrasjonen i måten nøkkelringlåsestatus ble sporet på. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5915 : Peter Walz fra University of Minnesota, David Ephron, Eric E. Lawrence, Apple
Sikkerhet
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En trust-evaluering som er konfigurert for å kreve tilbakekallingskontroll, kan lykkes selv om tilbakekallingskontroll mislykkes
Beskrivelse: kSecRevocationRequirePositiveResponse-flagget ble angitt, men ikke implementert. Problemet ble løst ved å implementere flagget.
CVE-ID
CVE-2015-5894 : Hannes Oud fra kWallet GmbH
Sikkerhet
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En ekstern tjener kan be om et sertifikat før den identifiserer seg selv
Beskrivelse: Secure Transport godtok CertificateRequest-meldingen før ServerKeyExchange-meldingen. Problemet ble løst ved å kreve ServerKeyExchange først.
CVE-ID
CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue fra INRIA Paris-Rocquencourt og Cedric Fournet og Markulf Kohlweiss fra Microsoft Research, Pierre-Yves Strub fra IMDEA Software Institute
SMB
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5891 : Ilja van Sprundel fra IOActive
SMB
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i SMBClient som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5893 : Ilja van Sprundel fra IOActive
SQLite
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i SQLite v3.8.5
Beskrivelse: Det var flere sårbarheter i SQLite v3.8.5. Problemene ble løst ved å oppdatere SQLite til versjon v3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telefoni
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan foreta telefonoppringninger uten at brukeren vet om det, når Continuity brukes
Beskrivelse: Det var et problem i godkjenningskontrollene for å ta telefonsamtaler. Problemet ble løst gjennom forbedrede godkjenningskontroller.
CVE-ID
CVE-2015-3785 : Dan Bastone fra Gotham Digital Science
Terminal
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Skadelig tekst kan villede brukeren i Terminal
Beskrivelse: Terminal håndterte ikke toveis overstyringstegn på samme måte ved visning av tekst og ved markering av tekst. Problemet ble løst ved å undertrykke toveis overstyringstegn i Terminal.
CVE-ID
CVE-2015-5883 : Lukas Schauer (@lukas2511)
tidy
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var flere problemer med skadet minne i tidy. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
Time Machine
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan få tilgang til nøkkelringobjekter
Beskrivelse: Det var et problem i sikkerhetskopier fra Time Machine-rammeverket. Problemet ble løst gjennom forbedret dekning av Time Machine-sikkerhetskopier.
CVE-ID
CVE-2015-5854 : Jonas Magazinius fra Assured AB
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.