Om sikkerhetsinnholdet i OS X Yosemite v10.10.5 og sikkerhetsoppdatering 2015-006

Dette dokumentet beskriver sikkerhetsinnholdet i OS X Yosemite v10.10.5 og Sikkerhetsoppdatering 2015-006.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil lese mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

OS X Yosemite v10.10.5 og sikkerhetsoppdatering 2015-006

  • Apache

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var flere sårbarheter i Apache 2.4.16, der den mest alvorlige kunne tillate at en angriper forårsaket nekting av tjeneste

    Beskrivelse: Det var flere sårbarheter i Apache-versjonene før 2.4.16. Disse ble rettet ved å oppdatere Apache til versjon 2.4.16.

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var mange sårbarheter i PHP 5.5.20, og den alvorligste kan forårsake kjøring av vilkårlig kode

    Beskrivelse: Det var flere sårbarheter i PHP-versjonene før 5.5.20. Disse ble rettet ved å oppdatere Apache til versjon 5.5.27.

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD-tillegg

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et ondsinnet program kan bli i stand til å endre passordet for en lokal bruker

    Beskrivelse: I enkelte tilfeller var det et tilstandshåndteringsproblem i passordgodkjenning. Problemet ble løst ved forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-3799: en anonym forsker som arbeider med HPs Zero Day Initiative

  • AppleGraphicsControl

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem i AppleGraphicsControl som kunne ha ført til avdekking av layouten til kjernehukommelsen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5768 : JieTao Yang fra KeenTeam

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i IOBluetoothHCIController. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3779 : Teddy Reed fra Facebook Security

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Et problem med håndteringen av hukommelse kunne ha ført til fremlegging av layouten til kjernehukommelsen. Problemet ble løst med forbedret håndtering av hukommelsen.

    CVE-ID

    CVE-2015-3780 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En skadelig app kan få tilgang til varsler fra andre iCloud-enheter

    Beskrivelse: Det var et problem der en skadelig app kunne få tilgang til Varslingssenter-varsler for en Bluetooth-sammenkoblet Mac eller iOS-enhet via Apple Varslingssenter-tjenesten. Problemet berørte enheter som bruker Handoff og logget på samme iCloud-konto. Problemet ble løst ved å trekke tilbake tilgang til Apple Varslingssenter-tjenesten.

    CVE-ID

    CVE-2015-3786 : Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En angriper med privilegert nettverksplassering kan være i stand til å utføre et tjenestenektangrep ved å bruke feilformede Bluetooth-pakker

    Beskrivelse: Det var et problem med validering av inndata i parsing av Bluetooth ACL-pakker. Dette problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-3787 : Trend Micro

  • Bluetooth

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med bufferoverflyt blueds håndtering av XPC-meldinger. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3777 : mitp0sh of [PDX]

  • bootp

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig Wi-Fi-nettverk kan være i stand til å finne ut hvilke nettverk en enhet har hatt tilgang til tidligere

    Beskrivelse: Etter tilkobling til et Wi-Fi-nettverk kan iOS ha kringkastet MAC-adresser til tidligere brukte nettverk via DNAv4-protokollen. Dette problemet ble løst ved å deaktivere DNAv4 i ukrypterte Wi-Fi-nettverk.

    CVE-ID

    CVE-2015-3778 : Piers O'Hanlon fra Oxford Internet Institute, University of Oxford (på prosjektet EPSRC Being There)

  • CloudKit

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et ondsinnet program kan være i stand til å få tilgang til iCloud-brukerposten til en tidligere pålogget bruker

    Beskrivelse: Det var en tilstandsinkonsistens i CloudKit når brukere logget av. Dette problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-3782 : Deepkanwal Plaha fra University of Toronto

  • CoreMedia Playback

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Visning av en skadelig filmfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i CoreMedia Playback. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5777 : Apple

    CVE-2015-5778 : Apple

  • CoreText

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5761 : John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5755 : John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Flere sårbarheter i cURL og libcurl før 7.38.0, der en av dem kan tillate at eksterne angripere forbigår Same Origin Policy

    Beskrivelse: Det var flere sårbarheter i cURL og libcurl før 7.38.0. Disse problemene ble løst ved å oppdatere cURL til versjon 7.43.0.

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en sekvens med unicode-tegn kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i behandlingen av Unicode-tegn. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5750 : M1x7e1 fra Safeye Team (www.safeye.org)

  • Valgruten for dato og tid

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Programmer som baserer seg på systemtid, kan ha uventet virkemåte

    Beskrivelse: Det var et godkjenningsproblem ved endring av systemvalgene for dato og tid. Problemet ble løst med ekstra godkjenningskontroller.

    CVE-ID

    CVE-2015-3757 : Mark S C Smith

  • Ordliste-program

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En angriper med privilegert nettverksplassering kan være i stand til å avskjære brukernes spørringer i Ordliste-appen

    Beskrivelse: Det var et problem i Ordliste-appen som ikke sikret brukerkommunikasjon ordentlig. Dette problemet ble løst ved å flytte Ordliste-spørringer til HTTPS.

    CVE-ID

    CVE-2015-3774 : Jeffrey Paul fra EEQJ, Jan Bee fra Google Security Team

  • Diskfiler

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig DMG-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av feilformede DMG-bilder. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3800 : Frank Graziano fra Yahoo Pentest Team 

  • dyld

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et banevalideringsproblem i dyld. Dette ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-3760 : beist of grayhash, Stefan Esser

  • FontParser

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-3804 : Apple

    CVE-2015-5775 : Apple

  • FontParser

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Dette problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5756 : John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Flere problemer i pdfroff

    Beskrivelse: Det var flere problemer i pdfroff, der det mest alvorlige kunne tillate vilkårlig endring av filsystemet. Disse problemene ble løst ved å fjerne pdfroff.

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av et skadelig TIFF-bilde kan føre til at et program uventet avsluttes eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med skadet hukommelse i behandlingen av TIFF-bilder. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5758 : Apple

  • ImageIO

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Besøk på et skadelig nettsted kan resultere i fremlegging av prosesshukommelse

    Beskrivelse: Det var et problem med tilgang til uinitialisert hukommelse i ImageIOs håndtering av PNG- og TIFF-bilder. Besøk på skadelig nettsted kunne føre til sending av data fra prosesshukommelse til nettstedet. Dette problemet ble løst gjennom forbedret initialisering av hukommelse og ekstra validering av PNG- og TIFF-bilder.

    CVE-ID

    CVE-2015-5781 : Michal Zalewski

    CVE-2015-5782 : Michal Zalewski

  • Eldre installeringsrammeverk

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med hvordan Install.frameworks «runner»-binære droppet rettigheter. Dette problemet ble løst ved forbedret rettighetshåndtering.

    CVE-ID

    CVE-2015-5784 : Ian Beer fra Google Project Zero

  • Eldre installeringsrammeverk

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var en race-tilstand i Install.frameworks «runner»-ninære som førte til at rettigheter feilaktig ble droppet. Dette problemet ble løst ved forbedret objektlåsing.

    CVE-ID

    CVE-2015-5754 : Ian Beer fra Google Project Zero

  • IOFireWireFamily

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var problemer med ødelagt hukommelse i IOFireWireFamily. Problemene ble løst gjennom ytterligere validering av inndata.

    CVE-ID

    CVE-2015-3769 : Ilja van Sprundel

    CVE-2015-3771 : Ilja van Sprundel

    CVE-2015-3772 : Ilja van Sprundel

  • IOGraphics

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i IOGraphics. Problemet ble løst gjennom ytterligere inndatavalidering.

    CVE-ID

    CVE-2015-3770 : Ilja van Sprundel

    CVE-2015-5783 : Ilja van Sprundel

  • IOHIDFamily

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med bufferoverflyt i IOHIDFamily. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5774 : TaiG Jailbreak Team

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem i mach_port_space_info-grensesnittet som kunne ha ført til fremlegging av kjernehukommelseslayout. Dette ble løst ved å deaktivere mach_port_space_info-grensesnittet.

    CVE-ID

    CVE-2015-3766 : Cererdlong fra Alibaba Mobile Security Team, @PanguTeam

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var heltallsoverflyt i håndteringen avIOKit-funksjoner. Dette problemet ble løst gjennom forbedret validering av IOKit API-argumenter.

    CVE-ID

    CVE-2015-3768 : Ilja van Sprundel

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan være i stand til å forårsake systemnekting av tjeneste

    Beskrivelse: Det var et ressursuttømmingsproblem i fasttrap-driveren. Dette ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5747 : Maxime VILLARD fra m00nbsd

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan være i stand til å forårsake systemnekting av tjeneste

    Beskrivelse: Det var et valideringsproblem i aktiveringen av HFS-volumer. Dette ble løst ved å legge inn ekstra kontroller.

    CVE-ID

    CVE-2015-5748 : Maxime VILLARD fra m00nbsd

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan bli i stand til å utføre usignert kode

    Beskrivelse: Det var et problem som tillot at usignert kode ble føyd til signert kode i en spesialutformet utførbar fil. Problemet ble løst gjennom forbedret validering av kodesignaturer.

    CVE-ID

    CVE-2015-3806 : TaiG Jailbreak Team

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En spesialutformet utførbar fil kan tillate utføring av usignert, skadelig kode

    Beskrivelse: Det var et problem i måten utførbare filer med flere arkitekturer ble evaluert på, og som kunne ha tillatt utføring av usignert kode. Problemet ble løst med forbedret validering av utførbare filer.

    CVE-ID

    CVE-2015-3803 : TaiG Jailbreak Team

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan kanskje utføre usignert kode

    Beskrivelse: Det var et valideringsproblem i håndteringen av Mach-O-filer. Dette ble løst ved å legge inn ekstra kontroller.

    CVE-ID

    CVE-2015-3802 : TaiG Jailbreak Team

    CVE-2015-3805 : TaiG Jailbreak Team

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av en skadelig plist kan føre til uventet avslutning av et program eller utføring av vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av feilformede plists. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3776 : Teddy Reed fra Facebook Security, Patrick Stein (@jollyjinx) fra Jinx Germany

  • Kjerne

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med banevalidering. Dette ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-3761 : Apple

  • Libc

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av et skadelig regulært uttrykk kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i TRE-biblioteket. Disse problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3796 : Ian Beer fra Google Project Zero

    CVE-2015-3797 : Ian Beer fra Google Project Zero

    CVE-2015-3798 : Ian Beer fra Google Project Zero

  • Libinfo

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i håndteringen av AF_INET6-sokler. Problemene ble løst ved forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5776 : Apple

  • libpthread

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av syscalls. Problemet ble løst gjennom forbedret låsetilstandskontroll.

    CVE-ID

    CVE-2015-5757 : Lufeng Li fra Qihoo 360

  • libxml2

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var flere sårbarheter i libxml2-versjoner før 2.9.2, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste

    Beskrivelse: Det var flere sårbarheter i libxml2-versjoner før 2.9.2. Disse ble rettet ved å oppdatere libxml2 til versjon 2.9.2.

    CVE-ID

    CVE-2012-6685 : Felix Groebert fra Google

    CVE-2014-0191 : Felix Groebert fra Google

  • libxml2

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av et skadelig XML-dokument kan føre til fremlegging av brukerinformasjon

    Beskrivelse: Det var et problem med hukommelsestilgang i libxml2. Dette ble løst med forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2014-3660 : Felix Groebert fra Google

  • libxml2

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av et skadelig XML-dokument kan føre til fremlegging av brukerinformasjon

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av XML-filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3807 : Apple

  • libxpc

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av feilformede XPC-meldinger. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-3795 : Mathew Rowley

  • mail_cmds

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å utføre vilkårlige shell-kommandoer

    Beskrivelse: Det var et valideringsproblem i mailx-parsing av e-postadresser. Dette ble løst med forbedret rensing.

    CVE-ID

    CVE-2014-7844

  • Varslingssenter OSX

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Et skadelig program kan få tilgang til alle varsler som tidligere ble vist til brukere

    Beskrivelse: Det var et problem i Varslingssenter som førte til at brukervarsler ikke ble slettet riktig. Dette problemet ble løst ved riktig sletting av varsler som er lukket av brukere.

    CVE-ID

    CVE-2015-3764 : Jonathan Zdziarski

  • ntfs

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i NTFS. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5763 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • OpenSSH

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Eksterne angripere kan bli i stand til å omgå en tidsforsinkelse for mislykkede påloggingsforsøk og utføre angrep med rå kraft

    Beskrivelse: Det var et problem med behandlingen av tastatur-interaktive enheter. Dette problemet ble løst gjennom forbedret validering av godkjenningsforespørsler.

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste

    Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av et skadelig regulært uttrykk kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var en heltallsunderflyt i måten Perl parset regulære uttrykk på. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: En angriper kan bli i stand til å forårsake uventet avslutning av et program eller få tilgang til data uten riktig godkjenning

    Beskrivelse: Det var flere problemer i PostgreSQL 9.2.4. Disse problemene ble løst ved å oppdatere PostgreSQL til 9.2.13.

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var mange sårbarheter i Python 2.7.6, og den alvorligste kan forårsake kjøring av vilkårlig kode

    Beskrivelse: Det var flere sårbarheter i Python-versjonene før 2.7.6. Disse ble rettet ved å oppdatere Python til versjon 2.7.10.

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av Office-dokumenter. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5773 : Apple

  • QL Office

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av en skadelig XML-fil kan føre til fremlegging av brukerinformasjon

    Beskrivelse: Det var et problem med ekstern enhetsreferanse i XML-filparsing. Dette problemet ble løst ved forbedret parsing.

    CVE-ID

    CVE-2015-3784 : Bruno Morisson fra INTEGRITY S.A.

  • Quartz Composer Framework

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av en skadelig QuickTime-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av QuickTime-filer. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5771 : Apple

  • Hurtigvisning

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Søk etter et tidligere vist nettsted kan starte nettleseren og gjengi det nettstedet

    Beskrivelse: Det var et problem der QuickLook hadde mulighet til å utføre JavaScript. Problemet ble løst ved ikke å tillate utføring av JavaScript.

    CVE-ID

    CVE-2015-3781 : Andrew Pouliot fra Facebook, Anto Loyola fra Qubole

  • QuickTime 7

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i QuickTime. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753 : Apple

    CVE-2015-5779 : Apple

  • QuickTime 7

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i QuickTime. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3765 : Joe Burnett fra Audio Poison

    CVE-2015-3788 : Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3789 : Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3790 : Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3791 : Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-3792 : Ryan Pentney og Richard Johnson fra Cisco Talos

    CVE-2015-5751 : WalkerFuz

  • SceneKit

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Visning av en skadelig Collada-fil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var heap-bufferoverflyt i SceneKits håndtering av Collada-filer. Dette problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5772 : Apple

  • SceneKit

    Tilgjengelig for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.4

    Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i SceneKit. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3783 : Haris Andrianakis fra Google Security Team

  • Sikkerhet

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En standardbruker kan få tilgang til administratorrettigheter uten ordentlig godkjenning

    Beskrivelse: Det var et problem med håndteringen av brukergodkjenning. Dette problemet ble løst ved forbedret autentiseringskontroll.

    CVE-ID

    CVE-2015-3775 : [Eldon Ahrold]

  • SMBClient

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i SMB-klienten. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3773 : Ilja van Sprundel

  • Speech UI

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av en skadelig unicode-streng med talevarsler aktivert, kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av Unicode-strenger. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3794 : Adam Greenbaum fra Refinitive

  • sudo

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var flere sårbarheter i sudo-versjoner før 1.7.10p9, der den mest alvorlige kunne gi en angriper tilgang til vilkårlige filer

    Beskrivelse: Det var flere sårbarheter i sudo-versjoner før 1.7.10p9. Disse ble løst ved å oppdatere sudo til versjon 1.7.10p9.

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Det var flere sårbarheter i tcpdump 4.7.3, der den mest alvorlige kunne tillate at en ekstern angriper forårsaket nekting av tjeneste

    Beskrivelse: Det var flere sårbarheter i tcpdump-versjonene før 4.7.3. Disse ble rettet ved å oppdatere tcpdump til versjon 4.7.3.

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Tekstformater

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Parsing av en skadelig tekstfil kan føre til fremlegging av brukerinformasjon

    Beskrivelse: Det var et XML- problem med ekstern enhetsreferanse i TextEdit-parsing. Dette problemet ble løst ved forbedret parsing.

    CVE-ID

    CVE-2015-3762 : Xiaoyong Wu fra Evernote Security Team

  • udf

    Tilgjengelig for: OS X Yosemite v10.10 til v10.10.4

    Virkning: Behandling av en skadelig DMG-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i parsing av feilformede DMG-bilder. Dette problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-3767 : beist fra grayhash

OS X Yosemite v10.10.5 inkluderer sikekrhetsinnholdet i Safari 8.0.8.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: