Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple-produktsikkerhet på nettstedet Apple-produktsikkerhet.
Finn ut mer om PGP-nøkkelen for Apple-produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.
Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.
Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.
OS X El Capitan v10.11
Adressebok
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan være i stand til å injisere vilkårlig kode i prosesser som laster Adressebok-rammeverket
Beskrivelse: Det var et problem i Adressebok-rammeverkets håndtering av en miljøvariabel. Problemet ble løst med forbedret miljøvariabelhåndtering.
CVE-ID
CVE-2015-5897 : Dan Bastone fra Gotham Digital Science
AirScan
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper med en privilegert nettverksplassering kan være i stand til å trekke ut nyttelast fra eSCL-pakker som sendes via en sikker tilkobling
Beskrivelse: Det var et problem i behandlingen av eSCL-pakker. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5853: en anonym forsker
apache_mod_php
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i PHP
Beskrivelse: Det var flere sårbarheter i PHP-versjoner før 5.5.27, inkludert en som kan ha ført til ekstern utføring av kode. Problemet ble løst ved å oppdatere PHP til versjon 5.5.27.
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store Kit
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan få tilgang til en brukers nøkkelringobjekter
Beskrivelse: Det var et problem med valideringen av tilgangskontrollister for iCloud-nøkkelringobjekter. Problemet ble løst gjennom forbedret kontroll av tilgangskontrollister.
CVE-ID
CVE-2015-5836 : XiaoFeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University
AppleEvents
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En bruker som er tilkoblet gjennom skjermdeling, kan sende Apple Events til en lokal brukers økt
Beskrivelse: Det var et problem med Apple Event-filtrering som tillot at noen brukere kunne sende Events til andre brukere. Dette ble løst gjennom forbedret Apple Event-håndtering.
CVE-ID
CVE-2015-5849 : Jack Lawrence (@_jackhl)
Lyd
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program
Beskrivelse: Det var et problem med skadet minne i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea
bash
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i bash
Beskrivelse: Det var flere sårbarheter i bash-versjoner før 3.2 oppdateringsnivå 57. Problemene ble løst ved å oppdatere bash versjon 3.2 til oppdateringsnivå 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Retningslinjer for sertifikatgodkjenning
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning
Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT202858.
CFNetwork-informasjonskapsler
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av domener på øverste nivå. Problemet ble løst gjennom forbedrede restriksjoner for oppretting av informasjonskapsler.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork FTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Skadelige FTP-tjenere kan være i stand til å forårsake at klienten utfører rekognosering på andre verter
Beskrivelse: Det var et problem i håndteringen av FTP-pakker når PASV-kommandoen ble brukt. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En skadelig URL-adresse kan være i stand til å forbigå HSTS og lekke følsomme data
Beskrivelse: Det var en sårbarhet i URL-parsing i HSTS-håndteringen. Problemet ble løst gjennom forbedret URL-analyse.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork HTTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære nettverkstrafikk
Beskrivelse: Det var et problem i håndteringen av oppføringer i HSTS-forhåndslastingslisten i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5859 : Rosario Giustolisi fra University of Luxembourg
CFNetwork HTTPProtocol
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus
Beskrivelse: Det var et problem i håndteringen av HSTS-tilstanden i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd
CFNetwork-proxyer
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Tilkobling til en skadelig webproxytjener kan angi skadelige informasjonskapsler for et nettsted
Beskrivelse: Det var et problem i håndteringen av proxytilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet
CFNetwork SSL
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-forbindelser
Beskrivelse: Det var problem med sertifikatvalidering i NSURL når et sertifikat ble endret. Problemet ble løst gjennom forbedret validering av sertifikater.
CVE-ID
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork SSL
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan dekryptere data som er beskyttet av SSL
Beskrivelse: Det er kjente angrep på konfidensialiteten til RC4. En angriper kunne framtvinge bruk av RC4, selv om en tjener foretrakk bedre chiffrering, ved å blokkere TLS 1.0- og høyere tilkoblinger til CFNetwork forsøkte SSL 3.0, som bare tillater RC4. Problemet ble løst ved å fjerne muligheten til å ta steget ned til SSL 3.0.
CoreCrypto
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan være i stand til å fastslå en privat nøkkel
Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper ha vært i stand til å fastslå den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.
CoreText
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til at vilkårlig kode utføres
Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Dev Tools
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i dyld. Dette ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5876 : beist fra grayhash
Dev Tools
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et program kan kanskje omgå kodesigneringskontroller
Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5839 : @PanguTeam
Diskfiler
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med skadet minne i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et program kan kanskje omgå kodesigneringskontroller
Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5839 : TaiG Jailbreak Team
EFI
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan hindre noen systemer i å starte opp
Beskrivelse: Det var et problem med adressene som var dekket av det beskyttede områderegisteret. Problemet ble løst ved å endre det beskyttede området.
CVE-ID
CVE-2015-5900 : Xeno Kovah og Corey Kallenberg fra LegbaCore
EFI
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En skadelig Apple Ethernet Thunderbolt-adapter kan være i stand til å påvirke firmware-flashing
Beskrivelse: Apple Ethernet Thunderbolt-adaptere kunne modifisere vertsfirmware hvis de ble koblet til under en EFI-oppdatering. Problemet ble løst ved ikke å laste inn Option ROMs under oppdatering.
CVE-ID
CVE-2015-5914 : Trammell Hudson fra Two Sigma Investments og snare
Finder
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Funksjonen «Sikker tømming» sletter kanskje ikke filer i papirkurven på en sikker måte
Beskrivelse: Det var et problem med å garantere sikker sletting av filer i papirkurven i enkelte systemer, slik som dem med flash-lager. Problemet ble løst ved å fjerne valget «Sikker tømming».
CVE-ID
CVE-2015-5901 : Apple
Game Center
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig Game Center-program kan skaffe seg tilgang til en spillers e-postadresse
Beskrivelse: Det var et problem i Game Center med håndtering av spilleres e-post. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.
CVE-ID
CVE-2015-5855: Nasser Alnasser
Heimdal
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan være i stand til å bruke på nytt Kerberos-legitimasjon til SMB-tjeneren
Beskrivelse: Det var et godkjenningsproblem i Kerberos-legitimasjon. Problemet ble løst gjennom ekstra validering av legitimasjon ved bruk av en liste med legitimasjoner som nylig er sett.
CVE-ID
CVE-2015-5913 : Tarun Chopra fra Microsoft Corporation USA og Yu Fan fra Microsoft Corporation Kina
ICU
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i ICU
Beskrivelse: Det var flere sårbarheter i ICU-versjonene før 53.1.0. Problemene ble løst ved å oppdatere ICU til versjon 55.1.
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand fra Google Project Zero
Eldre installeringsrammeverk
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan få rotrettigheter
Beskrivelse: Det var et restriksjonsproblem i Installer privat rammeverk som inneholder en privilegert utførbar fil. Problemet ble løst ved å fjerne den utførbare filen.
CVE-ID
CVE-2015-5888 : Apple
Intel Graphics-driver
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere problemer med skadet minne i Intel-grafikkdriveren. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5830 : Yuki MIZUNO (@mzyy94)
CVE-2015-5877 : Camillus Gerard Cai
IOAudioFamily
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i IOAudioFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst ved å permutere kjernepekere.
CVE-ID
CVE-2015-5864 : Luca Todesco
IOGraphics
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var flere problemer med skadet minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5871 : Ilja van Sprundel fra IOActive
CVE-2015-5872 : Ilja van Sprundel fra IOActive
CVE-2015-5873 : Ilja van Sprundel fra IOActive
CVE-2015-5890 : Ilja van Sprundel fra IOActive
IOGraphics
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i IOGraphics som kunne ha ført til avdekking av layouten til kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5865 : Luca Todesco
IOHIDFamily
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var flere problemer med skadet minne i IOHIDFamily. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5866 : Apple
CVE-2015-5867: moony li fra Trend Micro
IOStorageFamily
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan være i stand til å lese kjerneminne
Beskrivelse: Det var et problem med initialisering av minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel fra IOActive
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var flere problemer med skadet minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal prosess kan endre andre prosesser uten berettigelseskontroller
Beskrivelse: Det var et problem der rotprosesser som benyttet API-et processor_set_tasks kunne hente oppgaveportene til andre prosesser. Problemet ble løst gjennom ekstra rettighetskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça på grunnlag av opprinnelige undersøkelser utført av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan styre verdien til stakkinformasjonskapsler
Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler for brukerplass. Disse problemene ble løst gjennom forbedret generering av stakkinformasjonskapsler.
CVE-ID
CVE-2013-3951: Stefan Esser
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper kan være i stand til å starte tjenestenektangrep på utpekte TCP-forbindelser uten å kunne det riktige sekvensnummeret
Beskrivelse: Det var et problem i xnus validering av TCP-pakkehoder. Problemet ble løst gjennom forbedret validering av TCP-pakkehoder.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting
Beskrivelse: Det var et problem med utilstrekkelig validering i håndteringen av iPv6-ruterannonseringer som tillot en angriper å sette hoppgrensen til en vilkårlig verdi. Problemet ble løst ved å innføre en minste hoppgrense.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem som førte til avdekking av layout i kjerneminnet. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.
CVE-ID
CVE-2015-5842: beist fra grayhash
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i feilsøkingsgrensesnitt som førte til avdekking av innhold i minnet. Problemet ble løst ved å slette midlertidige utdata fra feilsøkingsgrensesnitt.
CVE-ID
CVE-2015-5870 : Apple
Kjerne
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet
Beskrivelse: Det var et problem i feilsøkingsfunksjonaliteten. Problemet ble løst gjennom forbedret validering.
CVE-ID
CVE-2015-5902 : Sergi Alvarez (pancake) fra NowSecure Research Team
libc
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i fflush-funksjonen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation
libpthread
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
libxpc
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Mange SSH-tilkoblinger kunne forårsake tjenestenekt
Beskrivelse: launchd hadde ikke noen grense for antall prosesser som kunne startes av en nettverkstilkobling. Problemet ble løst ved å begrense antall SSH-prosesser til 40.
CVE-ID
CVE-2015-5881 : Apple
Påloggingsvindu
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode
Beskrivelse: Det var et problem med oppfanget skjermlåsing. Problemet ble løst gjennom forbedret håndtering av låsing.
CVE-ID
CVE-2015-5833 : Carlos Moreira, Rainer Dorau fra rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera og Jon Hall fra Asynchrony
lukemftpd
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En ekstern angriper kan være i stand til å nekte tjeneste til FTP-tjeneren
Beskrivelse: Det var et glob-behandlingsproblem i tnftpd. Problemet ble løst gjennom forbedret glob-validering.
CVE-ID
CVE-2015-5917 : Maksymilian Arciemowicz fra cxsecurity.com
Mail
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Utskrift av en e-postmelding kan føre til lekkasje av sensitiv brukerinformasjon
Beskrivelse: Det var et problem i Mail som hoppet over brukervalg ved utskrift av e-post. Problemet ble løst gjennom forbedret håndhevelse av brukervalg.
CVE-ID
CVE-2015-5881 : Owen DeLong fra Akamai Technologies, Noritaka Kamiya, Dennis Klein fra Eschenburg, Tyskland, Jeff Hammett fra Systim Technology Partners
Mail
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å fange opp vedlegg i S/MIME-kryptert e-post som sendes via Mail Drop
Beskrivelse: Det var et problem i håndteringen av krypteringsparametere for store e-postvedlegg som ble sendt via Mail Drop. Problemet ble løst ved å ikke lenger tilby Mail Drop ved sending av kryptert e-post.
CVE-ID
CVE-2015-5884 : John McCombs fra Integrated Mapping Ltd
Multipeer-kommunikasjon
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan være i stand til å observere ubeskyttede multipeer-data
Beskrivelse: Det var et problem med håndteringen av «convenience initializer», der krypteringen aktivt kunne nedgraderes til en ukryptert økt. Problemet ble løst ved å endre «convenience initializer», slik at kryptering er påkrevd.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem
NetworkExtension
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et problem med ikke-initialisert minne i kjernen førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret initialisering av minnet.
CVE-ID
CVE-2015-5831: Maxime Villard fra m00nbsd
Notater
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med parsing av koblinger i Notater-programmet. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5878 : Craig Young fra Tripwire VERT, en anonym forsker
Notater
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med skripting på tvers av nettsteder ved parsing av tekst i Notater-programmet. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5875 : xisigr fra Tencents Xuanwu LAB (www.tencent.com)
OpenSSH
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i OpenSSH
Beskrivelse: Det var flere sårbarheter i OpenSSH-versjonene før 6.9. Disse ble rettet ved å oppdatere OpenSSH til versjon 6.9.
CVE-ID
CVE-2014-2532
OpenSSL
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i OpenSSL
Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i procmail
Beskrivelse: Det var flere sårbarheter i procmail-versjoner før 3.22. Disse ble løst ved å fjerne procmail.
CVE-ID
CVE-2014-3618
remote_cmds
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med rotrettigheter
Beskrivelse: Det var et problem med bruken av miljøvariabler i rsh binary. Problemet ble løst ved å droppe setuid-privilegier fra rsh binary.
CVE-ID
CVE-2015-5889 : Philip Pettersson
removefile
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Behandling av skadelige data kan føre til uventet avslutning av et program
Beskrivelse: Det var en overflytfeil i checkint-delingsrutinene. Problemet ble løst gjennom forbedrede delingsrutiner.
CVE-ID
CVE-2015-5840: en anonym forsker
Ruby
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i Ruby
Beskrivelse: Det var flere sårbarheter i Ruby-versjoner før 2.0.0p645. Disse ble løst ved å oppdatere Ruby til versjon 2.0.0p645.
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Sikkerhet
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Låsetilstanden til nøkkelringen kan vises feil for brukeren
Beskrivelse: Det var et problem med tilstandsadministrasjonen i måten nøkkelringlåsestatus ble sporet på. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-ID
CVE-2015-5915 : Peter Walz fra University of Minnesota, David Ephron, Eric E. Lawrence, Apple
Sikkerhet
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En trust-evaluering som er konfigurert for å kreve tilbakekallingskontroll, kan lykkes selv om tilbakekallingskontroll mislykkes
Beskrivelse: kSecRevocationRequirePositiveResponse-flagget ble angitt, men ikke implementert. Problemet ble løst ved å implementere flagget.
CVE-ID
CVE-2015-5894 : Hannes Oud fra kWallet GmbH
Sikkerhet
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En ekstern tjener kan be om et sertifikat før den identifiserer seg selv
Beskrivelse: Secure Transport godtok CertificateRequest-meldingen før ServerKeyExchange-meldingen. Problemet ble løst ved å kreve ServerKeyExchange først.
CVE-ID
CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue fra INRIA Paris-Rocquencourt og Cedric Fournet og Markulf Kohlweiss fra Microsoft Research, Pierre-Yves Strub fra IMDEA Software Institute
SMB
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5891 : Ilja van Sprundel fra IOActive
SMB
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem i SMBClient som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5893 : Ilja van Sprundel fra IOActive
SQLite
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Flere sårbarheter i SQLite v3.8.5
Beskrivelse: Det var flere sårbarheter i SQLite v3.8.5. Problemene ble løst ved å oppdatere SQLite til versjon v3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telefoni
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan foreta telefonoppringninger uten at brukeren vet om det, når Continuity brukes
Beskrivelse: Det var et problem i godkjenningskontrollene for å ta telefonsamtaler. Problemet ble løst gjennom forbedrede godkjenningskontroller.
CVE-ID
CVE-2015-3785 : Dan Bastone fra Gotham Digital Science
Terminal
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Skadelig tekst kan villede brukeren i Terminal
Beskrivelse: Terminal håndterte ikke toveis overstyringstegn på samme måte ved visning av tekst og ved markering av tekst. Problemet ble løst ved å undertrykke toveis overstyringstegn i Terminal.
CVE-ID
CVE-2015-5883 : Lukas Schauer (@lukas2511)
tidy
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres
Beskrivelse: Det var flere problemer med skadet minne i tidy. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
Time Machine
Tilgjengelig for: Mac OS X v10.6.8 og nyere
Virkning: En lokal angriper kan få tilgang til nøkkelringobjekter
Beskrivelse: Det var et problem i sikkerhetskopier fra Time Machine-rammeverket. Problemet ble løst gjennom forbedret dekning av Time Machine-sikkerhetskopier.
CVE-ID
CVE-2015-5854 : Jonas Magazinius fra Assured AB
Merk: OS X El Capitan v10.11 inkluderer sikkerhetsinnholdet i Safari 9.