Om sikkerhetsinnholdet til OS X El Capitan 10.11.2, Sikkerhetsoppdatering 2015-005 Yosemite og Sikkerhetsoppdatering 2015-008 Mavericks

Dette dokumentet beskriver sikkerhetsinnholdet til OS X El Capitan 10.11.2, Sikkerhetsoppdatering 2015-005 Yosemite og Sikkerhetsoppdatering 2015-008 Mavericks.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Finn ut mer om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

OS X El Capitan 10.11.2, Sikkerhetsoppdatering 2015-005 Yosemite og Sikkerhetsoppdatering 2015-008 Mavericks

  • apache_mod_php

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Flere svakheter i PHP

    Beskrivelse: Det var flere svakheter i PHP-versjoner før 5.5.29. Den alvorligste av dem kunne medføre ekstern kjøring av kode. Disse problemene ble løst ved å oppdatere PHP til versjon 5.5.30.

    CVE-ID

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En skadelig applikasjon kan beholde tilgangen til Kontakter selv etter at den er fratatt tilgangsrettighetene

    Beskrivelse: Det var et problem med sandkassens håndtering av harde koblinger. Problemet ble løst ved å styrke appsandkassens hardhet.

    CVE-ID

    CVE-2015-7001 : Razvan Deaconescu og Mihai Bucicoiu ved Det politekniske institutt i Bucureşti; Luke Deshotels og William Enck ved North Carolina State University; Lucas Vincenzo Davi og Ahmad-Reza Sadeghi ved TU Darmstadt

  • Bluetooth

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med skadet minne i Bluetooth HCI-grensesnittet. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7108: Ian Beer i Google Project Zero

  • CFNetwork HTTPProtocol

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En angriper som har en nettverksplassering med rettigheter kan være i stand til å omgå HSTS

    Beskrivelse: Det var et problem med validering av inndata i URL-behandlingen. Problemet ble løst gjennom forbedret URL-validering.

    CVE-ID

    CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) fra Gehirn Inc. og Muneaki Nishimura (nishimunea)

  • Datakomprimering

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det eksisterte et problem med ikke-initialisert minnetilgang i zlib. Problemet ble løst gjennom forbedret initialisering av minne og ekstra validering av zlib-strømmer.

    CVE-ID

    CVE-2015-7054: j00ru

  • Konfigurasjonsprofiler

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal angriper kan installere en konfigurasjonsprofil uten administratorprivilegier

    Beskrivelse: Det var et problem under installasjon av konfigurasjonsprofiler. Dette problemet ble løst gjennom forbedrede godkjenningskontroller.

    CVE-ID

    CVE-2015-7062 : David Mulder ved Dell Software

  • CoreGraphics

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt minne under behandling av misformede mediefiler. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7074 : Apple

    CVE-2015-7075

  • Diskfiler

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med skadet minne i parsingen av diskfiler. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7110: Ian Beer i Google Project Zero

  • EFI

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det fantes et problem med banevalidering i kjerneinnlasteren. Dette ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-7063: Apple

  • Filbokmerke

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Et prosess i sandkassen kan være i stand til å omgå sandkasserestriksjoner

    Beskrivelse: Det fantes et problem med banevalidering i appbaserte bokmerker. Dette ble løst gjennom forbedret miljørensing.

    CVE-ID

    CVE-2015-7071: Apple

  • Hypervisor

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med bruk etter frigjøring i håndteringen av VM-objekter. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7078: Ian Beer i Google Project Zero

  • iBooks

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Parsing av en skadelig iBooks-fil kan føre til at brukerinformasjon avsløres

    Beskrivelse: Det var et problem med referanse til eksterne enheter i XML under parsing av iBook. Problemet ble løst gjennom forbedret parsing.

    CVE-ID

    CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) og Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i ImageIO. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7053: Apple

  • Intel Graphics-driver

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Et dereferanseproblem for en null-peker ble løst ved at inndatavalideringen ble forbedret.

    CVE-ID

    CVE-2015-7076: Juwei Lin of TrendMicro, Beist og ABH of BoB og JeongHoon Shin@A.D.D

  • Intel Graphics-driver

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det fantes et problem med ødelagt minne i Intel Graphics-driveren. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7106: Ian Beer i Google Project Zero, Juwei Lin fra TrendMicro, Beist og ABH of BoB og JeongHoon Shin@A.D.D

  • Intel Graphics-driver

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med tilgang til minne utenfor området i Intel Graphics-driveren. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7077: Ian Beer i Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt minne i IOAcceleratorFamily. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7109: Juwei Lin fra TrendMicro

  • IOHIDFamily

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var flere problemer med ødelagt minne i IOHIDFamily API. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7111: Beist and ABH of BoB

    CVE-2015-7112: Ian Beer i Google Project Zero

  • IOKit SCSI

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det fantes et dereferanseproblem for en null-peker i håndteringen av visse typer brukerklienter. Problemet ble løst gjennom forbedret validering.

    CVE-ID

    CVE-2015-7068: Ian Beer i Google Project Zero

  • IOThunderboltFamily

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet

    Beskrivelse: Det fantes et dereferanseproblem for en null-peker i IOThunderboltFamilys håndtering av visse typer brukerklienter. Problemet ble løst gjennom forbedret validering av IOThunderboltFamily-kontekster.

    CVE-ID

    CVE-2015-7067: Juwei Lin fra TrendMicro

  • Kjerne

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Et lokalt program kan forårsake tjenestenekt

    Beskrivelse: Flere problemer med tjenestenekt ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7040: Lufeng Li i Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li i Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li i Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kjerne

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var flere problemer med ødelagt minne i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7083: Ian Beer i Google Project Zero

    CVE-2015-7084: Ian Beer i Google Project Zero

  • Kjerne

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det fantes et problem med parsing av Mach-meldinger. Problemet ble løst ved forbedret kontroll av Mach-meldinger.

    CVE-ID

    CVE-2015-7047: Ian Beer i Google Project Zero

  • kext-verktøy

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det fantes et valideringsproblem under innlasting av kjerneutvidelser. Problemet ble løst gjennom ytterligere verifikasjon.

    CVE-ID

    CVE-2015-7052: Apple

  • Nøkkelringtilgang

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En skadelig applikasjon kan forkle seg som nøkkelringserveren.

    Beskrivelse: Det var et problem med hvordan nøkkelringtilgangen kommuniserte med nøkkelringagenten. Problemet ble løst ved å fjerne foreldet funksjonalitet.

    CVE-ID

    CVE-2015-7045: Luyi Xing og XiaoFeng Wang ved Indiana University Bloomington, Xiaolong Bai ved Indiana University Bloomington og Tsinghua University, Tongxin Li ved Peking University, Kai Chen ved Indiana University Bloomington og Institute of Information Engineering, Xiaojing Liao ved Georgia Institute of Technology, Shi-Min Hu ved Tsinghua University og Xinhui Han ved Peking University

  • libarchive

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var et problem med ødelagt minne i behandlingen av arkiver. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Behandling av en skadelig pakke kan føre til utføring av vilkårlig kode

    Beskrivelse: Det fantes flere bufferoverflyter i standardbiblioteket C. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-7038 : Brian D. Wells fra E. W. Scripps, Narayan Subramanian fra Symantec Corporation/Veritas LLC

    • CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

      Oppføring oppdatert 3. mars 2017

  • libexpat

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Flere sårbarheter i expat

    Beskrivelse: Det fantes flere sårbarheter expat-versjonene forut for 2.1.0. Disse ble løst ved å oppdatere expat til versjon 2.1.0.

    CVE-ID

    CVE-2012-0876: Vincent Danen

    CVE-2012-1147: Kurt Seifried

    CVE-2012-1148: Kurt Seifried

  • libxml2

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres

    Beskrivelse: Det var et problem med ødelagt minne under parsing av XML-filer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7115 : Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang

    CVE-2015-7116 : Wei Lei og Liu Yang fra det teknologiske universitetet i Nanyang

  • OpenGL

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Besøk på et skadelig nettsted kan føre til at vilkårlig kode utføres

    Beskrivelse: Det var flere problemer med ødelagt minne i OpenGL. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7064: Apple

    CVE-2015-7065 : Apple

    CVE-2015-7066: Tongbo Luo og Bo Qu i Palo Alto Networks

  • OpenLDAP

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En ekstern, ikke godkjent klient kan være i stand til å forårsake tjenestenekt

    Beskrivelse: Det var et problem med validering av inndata i OpenLDAP. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-6908

  • OpenSSH

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: Flere sårbarheter i LibreSSL

    Beskrivelse: Det var flere sårbarheter i LibreSSL-versjonene før 2.1.8. Disse ble rettet ved å oppdatere LibreSSL til versjon 2.1.8.

    CVE-ID

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Åpning av en skadelig iWork-fil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i håndteringen av iWork-filer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7107

  • Sandbox

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En skadelig applikasjon med rotrettigheter kan omgå randomiseringen av områdelayouten for kjerneadressen

    Beskrivelse: Det fantes et problem med utilstrekkelig rettighetsseparasjon i xnu. Dette problemet ble løst gjennom forbedrede godkjenningskontroller.

    CVE-ID

    CVE-2015-7046: Apple

  • Sikkerhet

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En ekstern angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt minne i håndteringen av SSL-håndtrykk. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-7073: Benoit Foucher fra ZeroC, Inc.

  • Sikkerhet

    Tilgjengelig for: OS X Mavericks v10.9.5 og OS X Yosemite v10.10.5

    Virkning: Behandling av et skadelig sertifikat kan føre til kjøring av vilkårlig kode

    Beskrivelse: Det var flere problemer med ødelagt minne i ASN.1-dekoderen. Problemene ble løst gjennom forbedret validering av inndata

    CVE-ID

    CVE-2015-7059: David Keeler fra Mozilla

    CVE-2015-7060: Tyson Smith fra Mozilla

    CVE-2015-7061: Ryan Sleevi fra Google

  • Sikkerhet

    Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 og v10.11.1

    Virkning: Et skadelig program kan få tilgang til en brukers nøkkelringelementer

    Beskrivelse: Det var et problem med valideringen av tilgangskontrollistene for nøkkelringelementer. Dette problemet ble løst ved forbedret kontroll av tilgangskontrollister.

    CVE-ID

    CVE-2015-7058

  • Beskyttelse av systemintegritet

    Tilgjengelig for: OS X El Capitan v10.11 og v10.11.1

    Virkning: En skadelig applikasjon ed rotrettigheter kan kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det fantes et problem med håndtering av samlekataloger. Dette problemet ble løst gjennom forbedrede godkjenningskontroller.

    CVE-ID

    CVE-2015-7044: MacDefender

Notater

  • Vi anbefaler sikkerhetsoppdatering 2015-005 og 2015-008 for alle brukere, siden de forbedrer sikkerheten i OS X. Når du har installert denne oppdateringen, er ikke QuickTime 7-programtillegget for nettlesere lenger aktivert som standard. Finn ut hva du må gjøre dersom du fortsatt har behov for dette utdaterte programtillegget.

  • OS X El Capitan v205639.9 inkluderer sikkerhetsinnholdet i Safari 9.0.2.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: