Om sikkerhetsinnholdet i OS X Yosemite v10.10.4 og sikkerhetsoppdatering 2015-005

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Yosemite v10.10.4 og sikkerhetsoppdatering 2015-005.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-ID-er som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

OS X Yosemite v10.10.4 og sikkerhetsoppdatering 2015-005

  • Admin-rammeverk

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: En prosess kan få administratorrettigheter uten riktig godkjenning

    Beskrivelse: Det var et problem i kontrollen av XPC-berettigelse. Problemet ble løst gjennom forbedret kontroll av berettigelse.

    CVE-ID

    CVE-2015-3671: Emil Kvarnhammar i TrueSec

  • Admin-rammeverk

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: En vanlig bruker (ikke administrator) kan få administratorrettigheter

    Beskrivelse: Det var et problem med håndteringen av brukergodkjenning. Problemet ble løst gjennom forbedret feilkontroll.

    CVE-ID

    CVE-2015-3672: Emil Kvarnhammar i TrueSec

  • Admin-rammeverk

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En angriper kan misbruke Katalogverktøy for å få rotrettigheter

    Beskrivelse: Katalogverktøy kunne flyttes og modifiseres for å utføre kode innenfor en berettiget prosess. Problemet ble løst ved å begrense diskplasseringen som writeconfig-klienter kan utføres fra.

    CVE-ID

    CVE-2015-3673: Patrick Wardle i Synack, Emil Kvarnhammar i TrueSec

  • afpserver

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i AFP-tjeneren. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3674: Dean Jerkovich i NCC Group

  • Apache

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En angriper kan få tilgang til kataloger som er beskyttet med HTTP-godkjenning uten å kjenne til den riktige legitimasjonen

    Beskrivelse: Standardkonfigurasjonen til Apache inkluderte ikke mod_hfs_apple. Hvis Apache ble aktivert manuelt og konfigurasjonen ikke ble endret, kan noen filer som ikke skulle være tilgjengelig, ha vært tilgjengelig ved bruk av en spesiallaget URL. Problemet ble løst ved å aktivere mod_hfs_apple.

    CVE-ID

    CVE-2015-3675: Apple

  • Apache

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Det er flere sårbarheter i PHP, og den alvorligste kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere sårbarheter i eldre PHP-versjoner enn 5.5.24 og 5.4.40. De ble løst ved å oppdatere PHP til versjonene 5.5.24 og 5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i AppleGraphicsControl som kunne ha ført til avdekking av layouten til kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3676: Chen Liang i KEEN Team

  • AppleFSCompression

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i LZVN-komprimeringen som kunne ha ført til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3677: en anonym forsker som arbeider med HPs Zero Day Initiative

  • AppleThunderboltEDMService

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i håndteringen av visse Thunderbolt-kommandoer fra lokale prosesser. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med skadet minne i håndtering av visse fonter. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3679: Pawel Wylecial som arbeider med HPs Zero Day Initiative

    CVE-2015-3680: Pawel Wylecial som arbeider med HPs Zero Day Initiative

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i Bluetooth HCI-grensesnittet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3683: Roberto Paleari og Aristide Fattori i Emaze Networks

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære nettverkstrafikk

    Beskrivelse: Et mellomliggende sertifikat ble feilaktig utstedt av sertifikatautoriteten CNNIC. Problemet ble løst ved tilføyelse av en mekanisme for å godkjenne bare et delsett av sertifikater som er utstedt før den feilaktige utstedelsen av det mellomliggende. Du kan finne ut mer om den delvise sikkerhetsgodkjenningslisten.

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den fullstendige listen over sertifikater kan ses i OS X Trust Store.

  • CFNetwork HTTPAuthentication

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Det å følge en skadelig URL kan lede til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i håndteringen av visse URL-akkreditiver. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Behandling av en skadelig tekstfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med skadet minne i behandlingen av tekstfiler. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-forbindelser

    Beskrivelse: coreTLS godtok korte, kortvarige Diffie-Hellman (DH)-nøkler som brukes i kortvarige DH-chiffreringspakker ment for eksport. Dette problemet, som også er kjent som Logjam, tillot en angriper i en privilegert nettverksposisjon å nedgradere sikkerheten til 512-bits DH hvis tjeneren støttet en kortvarig DH-chiffreringspakke ment for eksport. Problemet ble løst ved å øke standard minimumsstørrelse for kortvarige DH-nøkler til 768 bits.

    CVE-ID

    CVE-2015-4000: weakdh-teamet i weakdh.org, Hanno Boeck

  • Diskfiler

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem med avdekking av informasjon i behandlingen av diskfiler. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar som arbeider med HPs Zero Day Initiative

  • Skjermdrivere

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem i Monitor Control Command Set-kjernetillegget som en userland-prosess kunne bruke til å styre verdien til en funksjonspeker i kjernen. Problemet ble løst ved å fjerne det berørte grensesnittet.

    CVE-ID

    CVE-2015-3691: Roberto Paleari og Aristide Fattori i Emaze Networks

  • EFI

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program med rotrettigheter kan være i stand til å modifisere EFI-flashminne

    Beskrivelse: Det var et problem med utilstrekkelig låsing av EFI-flashminne ved gjenopptakelse fra dvaletilstander. Problemet ble løst gjennom forbedret låsing.

    CVE-ID

    CVE-2015-3692: Trammell Hudson i Two Sigma Investments, Xeno Kovah og Corey Kallenberg i LegbaCore LLC, Pedro Vilaça

  • EFI

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan forårsake skadet minne for å eskalere rettigheter

    Beskrivelse: Det var en forstyrrelsesfeil, også kjent som Rowhammer, i noe DDR3 RAM som kunne ha ført til skadet minne. Problemet ble avhjulpet ved å øke minnets oppdateringsfrekvens.

    CVE-ID

    CVE-2015-3693: Mark Seaborn og Thomas Dullien i Google, som arbeidet på grunnlag av original forskning ved Yoongu Kim m.fl. (2014)

  • FontParser

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Grafikkdriver

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skriving utenfor grensene i NVIDIA-grafikkdriveren. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3712: Ian Beer i Google Project Zero

  • Intel Graphics-driver

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Det var flere problemer med bufferoverflyt i Intel-grafikkdriveren, der de mest alvorlige kunne føre til utføring av vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med bufferoverflyt i Intel-grafikkdriveren. Problemene ble løst gjennom ekstra grensekontroll.

    CVE-ID

    CVE-2015-3695: Ian Beer i Google Project Zero

    CVE-2015-3696: Ian Beer i Google Project Zero

    CVE-2015-3697: Ian Beer i Google Project Zero

    CVE-2015-3698: Ian Beer i Google Project Zero

    CVE-2015-3699: Ian Beer i Google Project Zero

    CVE-2015-3700: Ian Beer i Google Project Zero

    CVE-2015-3701: Ian Beer i Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Det var flere sårbarheter i libtiff, og de alvorligste kunne føre til utføring av vilkårlig kode

    Beskrivelse: Det var flere sårbarheter i libtiff-versjoner forut for 4.0.4. De ble løst ved å oppdatere libtiff til versjon 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Behandling av en skadelig .tiff-fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i behandlingen av .tiff-filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3703: Apple

  • Eldre installeringsrammeverk

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med hvordan Install.frameworks 'runner' setuid-binærkode slapp rettigheter. Problemet ble løst ved å slippe rettigheter riktig.

    CVE-ID

    CVE-2015-3704: Ian Beer i Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med skadet minne i IOAcceleratorFamily. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med dereferanser til tomme pekere i FireWire-driveren. Problemene ble løst gjennom forbedret feilkontroll.

    CVE-ID

    CVE-2015-3707: Roberto Paleari og Aristide Fattori i Emaze Networks
  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem med minnehåndteringen i behandlingen av API-er knyttet til kjernetillegg som kunne ført til avdekking av layouten til kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3720: Stefan Esser
  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem med minnehåndteringen i behandlingen av HFS-parametere som kunne ført til avdekking av layouten til kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3721: Ian Beer i Google Project Zero
  • kext-verktøy

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å overskrive vilkårlige filer

    Beskrivelse: kextd fulgte symbolske koblinger ved oppretting av en ny fil. Problemet ble løst gjennom forbedret håndtering av symbolske koblinger.

    CVE-ID

    CVE-2015-3708: Ian Beer i Google Project Zero

  • kext-verktøy

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En lokal bruker kan være i stand til å laste usignerte kjernetillegg

    Beskrivelse: Det var en TOCTOC (time-of-check time-of-use) «race»-tilstand ved validering av banene til kjernetillegg. Problemet ble løst gjennom forbedrede kontroller for å validere banen til kjernetilleggene.

    CVE-ID

    CVE-2015-3709: Ian Beer i Google Project Zero

  • E-post

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En skadelig e-postmelding kan erstatte meldingsinnholdet med en vilkårlig nettside når meldingen vises

    Beskrivelse: Det var et problem i støtten for HTML-meldinger som gjorde at meldingsinnholdet kunne oppdateres med en vilkårlig nettside. Problemet ble løst gjennom begrenset støtte for HTML-innhold.

    CVE-ID

    CVE-2015-3710: Aaron Sigel i vtty.com, Jan Souček

  • ntfs

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i NTFS som kunne ha ført til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3711: Peter Rutenbar som arbeider med HPs Zero Day Initiative

  • ntp

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: En angriper i en privilegert posisjon kan være i stand til å utføre et tjenestenektangrep mot to ntp-klienter

    Beskrivelse: Det var flere problemer med godkjenningen av ntp-pakker som ble mottatt av konfigurerte endepunkter. Problemene ble løst gjennom forbedret håndtering av tilkoblingstilstander.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Det er flere sårbarheter i OpenSSL, inkludert en som kan gi en angriper mulighet til å avskjære forbindelser til en tjener som støtter chiffrering på eksportnivå

    Beskrivelse: Det var flere problemer i OpenSSL 0.9.8zd som ble løst ved å oppdatere OpenSSL til versjon 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Behandling av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med skadet minne i QuickTime. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-3661: G. Geshev som arbeider med HPs Zero Day Initiative

    CVE-2015-3662: kdot som arbeider med HPs Zero Day Initiative

    CVE-2015-3663: kdot som arbeider med HPs Zero Day Initiative

    CVE-2015-3666: Steven Seeley i Source Incite som arbeider med HPs Zero Day Initiative

    CVE-2015-3667: Ryan Pentney, Richard Johnson i Cisco Talos og Kai Lu ved Fortinets FortiGuard Labs

    CVE-2015-3668: Kai Lu ved Fortinets FortiGuard Labs

    CVE-2015-3713: Apple

  • Sikkerhet

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var en heltallsoverflyt i sikkerhetsrammeverkskoden for analyse av S/MIME-meldinger og enkelte andre signerte eller krypterte objekter. Problemet ble løst gjennom forbedret gyldighetskontroll.

    CVE-ID

    CVE-2013-1741

  • Sikkerhet

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Programmer som det er tuklet med, vil kanskje ikke bli hindret i å starte

    Beskrivelse: Apper som bruker tilpassede ressursregler, kan ha vært utsatt for tukling som ikke har gjort signaturen ugyldig. Problemet ble løst gjennom forbedret validering av ressurser.

    CVE-ID

    CVE-2015-3714: Joshua Pitts i Leviathan Security Group

  • Sikkerhet

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å omgå kodesigneringskontroller

    Beskrivelse: Det var et problem der kodesignering ikke bekreftet biblioteker som var lastet utenfor programpakken. Problemet ble løst gjennom forbedret pakkekontroll.

    CVE-ID

    CVE-2015-3715: Patrick Wardle i Synack

  • Spotlight

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Virkning: Søking etter en skadelig fil med Spotlight kan føre til kommandoinjisering

    Beskrivelse: Det var en sårbarhet for kommandoinjisering i håndteringen av filnavn på bilder som ble lagt i det lokale bildebiblioteket. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

    Beskrivelse: Det var flere bufferoverflyter i SQLites printf-implementering. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar som arbeider med HPs Zero Day Initiative

  • SQLite

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: En skadelig SQL-kommando kan ha åpnet for uventet avslutning av programmer eller utføring av vilkårlig kode

    Beskrivelse: Det var et API-problem i SQLite-funksjonaliteten. Problemet ble løst gjennom forbedrede begrensninger.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar som arbeider med HPs Zero Day Initiative

  • Systemstatistikk

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Et skadelig program kan være i stand til å kompromittere systemstatsd

    Beskrivelse: Det var et problem med typeforveksling i systemstatsds behandling av kommunikasjon mellom prosesser. Det kan ha vært mulig å utføre vilkårlig kode som systemstatsd-prosessen ved å sende en skadelig formatert melding til systemstatsd. Problemet ble løst ved ekstra typekontroll.

    CVE-ID

    CVE-2015-3718: Roberto Paleari og Aristide Fattori i Emaze Networks

  • TrueTypeScaler

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.3

    Virkning: Utpakking av en skadelig zip-fil med unzip-verktøyet kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med skadet minne i håndteringen av zip-filer. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 inkluderer sikkerhetsinnholdet i Safari 8.0.7.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: