Om sikkerhetsinnholdet i OS X El Capitan v10.11.

Dette dokumentet beskriver sikkerhetsinnholdet i OS X El Capitan v10.11.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple-produktsikkerhet på nettstedet Apple-produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple-produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

OS X El Capitan v10.11

  • Adressebok

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal angriper kan være i stand til å injisere vilkårlig kode i prosesser som laster Adressebok-rammeverket

    Beskrivelse: Det var et problem i Adressebok-rammeverkets håndtering av en miljøvariabel. Problemet ble løst med forbedret miljøvariabelhåndtering.

    CVE-ID

    CVE-2015-5897 : Dan Bastone fra Gotham Digital Science

  • AirScan

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper med en privilegert nettverksplassering kan være i stand til å trekke ut nyttelast fra eSCL-pakker som sendes via en sikker tilkobling

    Beskrivelse: Det var et problem i behandlingen av eSCL-pakker. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-5853: en anonym forsker

  • apache_mod_php

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i PHP

    Beskrivelse: Det var flere sårbarheter i PHP-versjoner før 5.5.27, inkludert en som kan ha ført til ekstern utføring av kode. Problemet ble løst ved å oppdatere PHP til versjon 5.5.27.

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig program kan få tilgang til en brukers nøkkelringobjekter

    Beskrivelse: Det var et problem med valideringen av tilgangskontrollister for iCloud-nøkkelringobjekter. Problemet ble løst gjennom forbedret kontroll av tilgangskontrollister.

    CVE-ID

    CVE-2015-5836 : XiaoFeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University

  • AppleEvents

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En bruker som er tilkoblet gjennom skjermdeling, kan sende Apple Events til en lokal brukers økt

    Beskrivelse: Det var et problem med Apple Event-filtrering som tillot at noen brukere kunne sende Events til andre brukere. Dette ble løst gjennom forbedret Apple Event-håndtering.

    CVE-ID

    CVE-2015-5849 : Jack Lawrence (@_jackhl)

  • Lyd

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program

    Beskrivelse: Det var et problem med skadet minne i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea

  • bash

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i bash

    Beskrivelse: Det var flere sårbarheter i bash-versjoner før 3.2 oppdateringsnivå 57. Problemene ble løst ved å oppdatere bash versjon 3.2 til oppdateringsnivå 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den komplette listen over sertifikater kan vises på https://support.apple.com/no-no/HT202858.

  • CFNetwork-informasjonskapsler

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet

    Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av domener på øverste nivå. Problemet ble løst gjennom forbedrede restriksjoner for oppretting av informasjonskapsler.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork FTPProtocol

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Skadelige FTP-tjenere kan være i stand til å forårsake at klienten utfører rekognosering på andre verter

    Beskrivelse: Det var et problem i håndteringen av FTP-pakker når PASV-kommandoen ble brukt. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En skadelig URL-adresse kan være i stand til å forbigå HSTS og lekke følsomme data

    Beskrivelse: Det var en sårbarhet i URL-parsing i HSTS-håndteringen. Problemet ble løst gjennom forbedret URL-analyse.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork HTTPProtocol

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å avskjære nettverkstrafikk

    Beskrivelse: Det var et problem i håndteringen av oppføringer i HSTS-forhåndslastingslisten i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-5859 : Rosario Giustolisi fra University of Luxembourg

  • CFNetwork HTTPProtocol

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig nettsted kan være i stand til å spore brukere i privat Safari-nettlesermodus

    Beskrivelse: Det var et problem i håndteringen av HSTS-tilstanden i privat Safari-nettlesermodus. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd

  • CFNetwork-proxyer

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Tilkobling til en skadelig webproxytjener kan angi skadelige informasjonskapsler for et nettsted

    Beskrivelse: Det var et problem i håndteringen av proxytilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork SSL

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-forbindelser

    Beskrivelse: Det var problem med sertifikatvalidering i NSURL når et sertifikat ble endret. Problemet ble løst gjennom forbedret validering av sertifikater.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork SSL

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper kan dekryptere data som er beskyttet av SSL

    Beskrivelse: Det er kjente angrep på konfidensialiteten til RC4. En angriper kunne framtvinge bruk av RC4, selv om en tjener foretrakk bedre chiffrering, ved å blokkere TLS 1.0- og høyere tilkoblinger til CFNetwork forsøkte SSL 3.0, som bare tillater RC4. Problemet ble løst ved å fjerne muligheten til å ta steget ned til SSL 3.0.

  • CoreCrypto

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper kan være i stand til å fastslå en privat nøkkel

    Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper ha vært i stand til å fastslå den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.

  • CoreText

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Behandling av en skadelig fontfil kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i dyld. Dette ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5876 : beist fra grayhash

  • Dev Tools

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et program kan kanskje omgå kodesigneringskontroller

    Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5839 : @PanguTeam

  • Diskfiler

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et program kan kanskje omgå kodesigneringskontroller

    Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5839 : TaiG Jailbreak Team

  • EFI

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig program kan hindre noen systemer i å starte opp

    Beskrivelse: Det var et problem med adressene som var dekket av det beskyttede områderegisteret. Problemet ble løst ved å endre det beskyttede området.

    CVE-ID

    CVE-2015-5900 : Xeno Kovah og Corey Kallenberg fra LegbaCore

  • EFI

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En skadelig Apple Ethernet Thunderbolt-adapter kan være i stand til å påvirke firmware-flashing

    Beskrivelse: Apple Ethernet Thunderbolt-adaptere kunne modifisere vertsfirmware hvis de ble koblet til under en EFI-oppdatering. Problemet ble løst ved ikke å laste inn Option ROMs under oppdatering.

    CVE-ID

    CVE-2015-5914 : Trammell Hudson fra Two Sigma Investments og snare

  • Finder

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Funksjonen «Sikker tømming» sletter kanskje ikke filer i papirkurven på en sikker måte

    Beskrivelse: Det var et problem med å garantere sikker sletting av filer i papirkurven i enkelte systemer, slik som dem med flash-lager. Problemet ble løst ved å fjerne valget «Sikker tømming».

    CVE-ID

    CVE-2015-5901 : Apple

  • Game Center

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig Game Center-program kan skaffe seg tilgang til en spillers e-postadresse

    Beskrivelse: Det var et problem i Game Center med håndtering av spilleres e-post. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper kan være i stand til å bruke på nytt Kerberos-legitimasjon til SMB-tjeneren

    Beskrivelse: Det var et godkjenningsproblem i Kerberos-legitimasjon. Problemet ble løst gjennom ekstra validering av legitimasjon ved bruk av en liste med legitimasjoner som nylig er sett.

    CVE-ID

    CVE-2015-5913 : Tarun Chopra fra Microsoft Corporation USA og Yu Fan fra Microsoft Corporation Kina

  • ICU

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i ICU

    Beskrivelse: Det var flere sårbarheter i ICU-versjonene før 53.1.0. Problemene ble løst ved å oppdatere ICU til versjon 55.1.

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand fra Google Project Zero

  • Eldre installeringsrammeverk

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan få rotrettigheter

    Beskrivelse: Det var et restriksjonsproblem i Installer privat rammeverk som inneholder en privilegert utførbar fil. Problemet ble løst ved å fjerne den utførbare filen.

    CVE-ID

    CVE-2015-5888 : Apple

  • Intel Graphics-driver

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med skadet minne i Intel-grafikkdriveren. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5830 : Yuki MIZUNO (@mzyy94)

    CVE-2015-5877 : Camillus Gerard Cai

  • IOAudioFamily

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i IOAudioFamily som førte til avdekking av innhold i kjerneminnet. Problemet ble løst ved å permutere kjernepekere.

    CVE-ID

    CVE-2015-5864 : Luca Todesco

  • IOGraphics

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var flere problemer med skadet minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5871 : Ilja van Sprundel fra IOActive

    CVE-2015-5872 : Ilja van Sprundel fra IOActive

    CVE-2015-5873 : Ilja van Sprundel fra IOActive

    CVE-2015-5890 : Ilja van Sprundel fra IOActive

  • IOGraphics

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i IOGraphics som kunne ha ført til avdekking av layouten til kjerneminnet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5865 : Luca Todesco

  • IOHIDFamily

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med skadet minne i IOHIDFamily. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5866 : Apple

    CVE-2015-5867: moony li fra Trend Micro

  • IOStorageFamily

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal angriper kan være i stand til å lese kjerneminne

    Beskrivelse: Det var et problem med initialisering av minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var flere problemer med skadet minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal prosess kan endre andre prosesser uten berettigelseskontroller

    Beskrivelse: Det var et problem der rotprosesser som benyttet API-et processor_set_tasks kunne hente oppgaveportene til andre prosesser. Problemet ble løst gjennom ekstra rettighetskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça på grunnlag av opprinnelige undersøkelser utført av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal angriper kan styre verdien til stakkinformasjonskapsler

    Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler for brukerplass. Disse problemene ble løst gjennom forbedret generering av stakkinformasjonskapsler.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper kan være i stand til å starte tjenestenektangrep på utpekte TCP-forbindelser uten å kunne det riktige sekvensnummeret

    Beskrivelse: Det var et problem i xnus validering av TCP-pakkehoder. Problemet ble løst gjennom forbedret validering av TCP-pakkehoder.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting

    Beskrivelse: Det var et problem med utilstrekkelig validering i håndteringen av iPv6-ruterannonseringer som tillot en angriper å sette hoppgrensen til en vilkårlig verdi. Problemet ble løst ved å innføre en minste hoppgrense.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem som førte til avdekking av layout i kjerneminnet. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.

    CVE-ID

    CVE-2015-5842: beist fra grayhash

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i feilsøkingsgrensesnitt som førte til avdekking av innhold i minnet. Problemet ble løst ved å slette midlertidige utdata fra feilsøkingsgrensesnitt.

    CVE-ID

    CVE-2015-5870 : Apple

  • Kjerne

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet

    Beskrivelse: Det var et problem i feilsøkingsfunksjonaliteten. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-5902 : Sergi Alvarez (pancake) fra NowSecure Research Team

  • libc

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i fflush-funksjonen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation

  • libpthread

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • libxpc

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Mange SSH-tilkoblinger kunne forårsake tjenestenekt

    Beskrivelse: launchd hadde ikke noen grense for antall prosesser som kunne startes av en nettverkstilkobling. Problemet ble løst ved å begrense antall SSH-prosesser til 40.

    CVE-ID

    CVE-2015-5881 : Apple

  • Påloggingsvindu

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode

    Beskrivelse: Det var et problem med oppfanget skjermlåsing. Problemet ble løst gjennom forbedret håndtering av låsing.

    CVE-ID

    CVE-2015-5833 : Carlos Moreira, Rainer Dorau fra rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera og Jon Hall fra Asynchrony

  • lukemftpd

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En ekstern angriper kan være i stand til å nekte tjeneste til FTP-tjeneren

    Beskrivelse: Det var et glob-behandlingsproblem i tnftpd. Problemet ble løst gjennom forbedret glob-validering.

    CVE-ID

    CVE-2015-5917 : Maksymilian Arciemowicz fra cxsecurity.com

  • Mail

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Utskrift av en e-postmelding kan føre til lekkasje av sensitiv brukerinformasjon

    Beskrivelse: Det var et problem i Mail som hoppet over brukervalg ved utskrift av e-post. Problemet ble løst gjennom forbedret håndhevelse av brukervalg.

    CVE-ID

    CVE-2015-5881 : Owen DeLong fra Akamai Technologies, Noritaka Kamiya, Dennis Klein fra Eschenburg, Tyskland, Jeff Hammett fra Systim Technology Partners

  • Mail

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å fange opp vedlegg i S/MIME-kryptert e-post som sendes via Mail Drop

    Beskrivelse: Det var et problem i håndteringen av krypteringsparametere for store e-postvedlegg som ble sendt via Mail Drop. Problemet ble løst ved å ikke lenger tilby Mail Drop ved sending av kryptert e-post.

    CVE-ID

    CVE-2015-5884 : John McCombs fra Integrated Mapping Ltd

  • Multipeer-kommunikasjon

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal angriper kan være i stand til å observere ubeskyttede multipeer-data

    Beskrivelse: Det var et problem med håndteringen av «convenience initializer», der krypteringen aktivt kunne nedgraderes til en ukryptert økt. Problemet ble løst ved å endre «convenience initializer», slik at kryptering er påkrevd.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem

  • NetworkExtension

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Et problem med ikke-initialisert minne i kjernen førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret initialisering av minnet.

    CVE-ID

    CVE-2015-5831: Maxime Villard fra m00nbsd

  • Notater

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

    Beskrivelse: Det var et problem med parsing av koblinger i Notater-programmet. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5878 : Craig Young fra Tripwire VERT, en anonym forsker

  • Notater

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

    Beskrivelse: Det var et problem med skripting på tvers av nettsteder ved parsing av tekst i Notater-programmet. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5875 : xisigr fra Tencents Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i OpenSSH

    Beskrivelse: Det var flere sårbarheter i OpenSSH-versjonene før 6.9. Disse ble rettet ved å oppdatere OpenSSH til versjon 6.9.

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i OpenSSL

    Beskrivelse: Det var flere sårbarheter i OpenSSL-versjoner før 0.9.8zg. Disse ble løst ved å oppdatere OpenSSL til versjon 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i procmail

    Beskrivelse: Det var flere sårbarheter i procmail-versjoner før 3.22. Disse ble løst ved å fjerne procmail.

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med rotrettigheter

    Beskrivelse: Det var et problem med bruken av miljøvariabler i rsh binary. Problemet ble løst ved å droppe setuid-privilegier fra rsh binary.

    CVE-ID

    CVE-2015-5889 : Philip Pettersson

  • removefile

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Behandling av skadelige data kan føre til uventet avslutning av et program

    Beskrivelse: Det var en overflytfeil i checkint-delingsrutinene. Problemet ble løst gjennom forbedrede delingsrutiner.

    CVE-ID

    CVE-2015-5840: en anonym forsker

  • Ruby

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i Ruby

    Beskrivelse: Det var flere sårbarheter i Ruby-versjoner før 2.0.0p645. Disse ble løst ved å oppdatere Ruby til versjon 2.0.0p645.

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Sikkerhet

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Låsetilstanden til nøkkelringen kan vises feil for brukeren

    Beskrivelse: Det var et problem med tilstandsadministrasjonen i måten nøkkelringlåsestatus ble sporet på. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-5915 : Peter Walz fra University of Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Sikkerhet

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En trust-evaluering som er konfigurert for å kreve tilbakekallingskontroll, kan lykkes selv om tilbakekallingskontroll mislykkes

    Beskrivelse: kSecRevocationRequirePositiveResponse-flagget ble angitt, men ikke implementert. Problemet ble løst ved å implementere flagget.

    CVE-ID

    CVE-2015-5894 : Hannes Oud fra kWallet GmbH

  • Sikkerhet

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En ekstern tjener kan be om et sertifikat før den identifiserer seg selv

    Beskrivelse: Secure Transport godtok CertificateRequest-meldingen før ServerKeyExchange-meldingen. Problemet ble løst ved å kreve ServerKeyExchange først.

    CVE-ID

    CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue fra INRIA Paris-Rocquencourt og Cedric Fournet og Markulf Kohlweiss fra Microsoft Research, Pierre-Yves Strub fra IMDEA Software Institute

  • SMB

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skadet minne i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5891 : Ilja van Sprundel fra IOActive

  • SMB

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjerneminnet

    Beskrivelse: Det var et problem i SMBClient som førte til avdekking av innhold i kjerneminnet. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5893 : Ilja van Sprundel fra IOActive

  • SQLite

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Flere sårbarheter i SQLite v3.8.5

    Beskrivelse: Det var flere sårbarheter i SQLite v3.8.5. Problemene ble løst ved å oppdatere SQLite til versjon v3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefoni

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal angriper kan foreta telefonoppringninger uten at brukeren vet om det, når Continuity brukes

    Beskrivelse: Det var et problem i godkjenningskontrollene for å ta telefonsamtaler. Problemet ble løst gjennom forbedrede godkjenningskontroller.

    CVE-ID

    CVE-2015-3785 : Dan Bastone fra Gotham Digital Science

  • Terminal

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Skadelig tekst kan villede brukeren i Terminal

    Beskrivelse: Terminal håndterte ikke toveis overstyringstegn på samme måte ved visning av tekst og ved markering av tekst. Problemet ble løst ved å undertrykke toveis overstyringstegn i Terminal.

    CVE-ID

    CVE-2015-5883 : Lukas Schauer (@lukas2511)

  • tidy

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med skadet minne i tidy. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

  • Time Machine

    Tilgjengelig for: Mac OS X v10.6.8 og nyere

    Virkning: En lokal angriper kan få tilgang til nøkkelringobjekter

    Beskrivelse: Det var et problem i sikkerhetskopier fra Time Machine-rammeverket. Problemet ble løst gjennom forbedret dekning av Time Machine-sikkerhetskopier.

    CVE-ID

    CVE-2015-5854 : Jonas Magazinius fra Assured AB

Merk: OS X El Capitan v10.11 inkluderer sikkerhetsinnholdet i Safari 9.

 

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: