Informacje o uaktualnieniu zabezpieczeń 2015-003

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w Uaktualnieniu zabezpieczeń 2015-003.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

Uaktualnienie zabezpieczeń 2015-003

• Pęk kluczy iCloud

  Dostępne dla: OS X Yosemite 10.10.2

  Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

  Opis: w procedurze obsługi danych podczas odzyskiwania pęku kluczy iCloud występowało wiele przepełnień buforu. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

  Identyfikator CVE

  CVE-2015-1065: Andrey Belenko z NowSecure

• IOSurface

  Dostępne dla: OS X Yosemite 10.10.2

  Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

  Opis: w procedurze obsługi obiektów seryjnych przez komponent IOSurface występował błąd pomieszania typów. Rozwiązanie tego problemu polegało na wprowadzeniu dodatkowych procedur sprawdzania typów.

  Identyfikator CVE

  CVE-2015-1061: Ian Beer z Google Project Zero

Uwaga: Uaktualnienie zabezpieczeń 2015-003 obejmuje zawartość Uaktualnienia zabezpieczeń 2015-002. Dalsze szczegóły można znaleźć w artykule Informacje o uaktualnieniu zabezpieczeń 2015-002.