Informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Yosemite do wersji 10.10.3 i uaktualnieniu zabezpieczeń 2015-004

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w uaktualnieniu systemu OS X Yosemite do wersji 10.10.3 i uaktualnieniu zabezpieczeń 2015-004.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

OS X Yosemite 10.10.3 i uaktualnienie zabezpieczeń 2015-004

  • Szkielet administracyjny

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: proces może uzyskać uprawnienia administratora bez poprawnego uwierzytelnienia.

    Opis: w mechanizmie sprawdzania uprawnień XPC występował błąd. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania uprawnień.

    Identyfikator CVE

    CVE-2015-1130: Emil Kvarnhammar z TrueSec
     

  • Apache

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: wiele luk w zabezpieczeniach serwera Apache.

    Opis: oprogramowanie Apache w wersji starszej niż 2.4.10 i 2.2.29 zawierało szereg luk w zabezpieczeniach, z których jedna mogła pozwolić na wykonanie dowolnego kodu z podwyższonymi uprawnieniami przez osobę atakującą z lokalizacji zdalnej. Te problemy rozwiązano przez uaktualnienie oprogramowania Apache do wersji 2.4.10 lub 2.2.29.

    Identyfikator CVE

    CVE-2013-5704

    CVE-2013-6438

    CVE-2014-0098

    CVE-2014-0117

    CVE-2014-0118

    CVE-2014-0226

    CVE-2014-0231
  • ATS

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w demonie fontd występowały liczne błędy sprawdzania poprawności danych wejściowych. Te problemy rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-1131: Ian Beer z Google Project Zero

    CVE-2015-1132: Ian Beer z Google Project Zero

    CVE-2015-1133: Ian Beer z Google Project Zero

    CVE-2015-1134: Ian Beer z Google Project Zero

    CVE-2015-1135: Ian Beer z Google Project Zero

  • Zasady zaufania dotyczące certyfikatów

    Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.

    Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Zobacz pełną listę certyfikatów.

  • CFNetwork HTTPProtocol

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: pliki cookie należące do jednego źródła mogą zostać wysłane do innego źródła.

    Opis: w procedurze obsługi przekierowań występował błąd związany z międzydomenowymi plikami cookie. Pliki cookie ustawione w odpowiedzi przekierowania mogły zostać przekazane do miejsca docelowego przekierowania należącego do innego źródła. Ten problem rozwiązano przez poprawienie procedury obsługi przekierowań.

    Identyfikator CVE

    CVE-2015-1089: Niklas Keller (http://kelunik.com)

  • Sesja CFNetwork

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: poświadczenia uwierzytelniania mogą zostać wysłane do serwera w innym źródle.

    Opis: w procedurze obsługi przekierowań występował błąd związany z nagłówkami międzydomenowego żądania HTTP. Nagłówki żądania HTTP, które są wysyłane w odpowiedzi przekierowania, mogą zostać przekazane do innego źródła. Ten problem rozwiązano przez poprawienie procedury obsługi przekierowań.

    Identyfikator CVE

    CVE-2015-1091: Diego Torres (http://dtorres.me)

  • CFURL

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi adresów URL występował błąd sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.

    Identyfikator CVE

    CVE-2015-1088: Luigi Galli

  • CoreAnimation

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w programie CoreAnimation występował błąd dotyczący używania po zwolnieniu. Ten problem rozwiązano przez poprawienie procedur zarządzania muteksami.

    Identyfikator CVE

    CVE-2015-1136: Apple

  • FontParser

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-1093: Marc Schoenefeld

  • Sterownik graficzny

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi niektórych typów klientów użytkowników IOService przez sterownik graficzny firmy NVIDIA występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez wprowadzenie dodatkowej procedury sprawdzania poprawności kontekstu.

    Identyfikator CVE

    CVE-2015-1137: Frank Graziano i John Villamil z Yahoo Pentest Team

  • Hypervisor

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: aplikacja lokalna może spowodować atak typu „odmowa usługi”.

    Opis: w szkielecie hypervisora występował błąd sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-1138: Izik Eidus i Alex Fishman

  • ImageIO

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku SGI może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi plików SGI występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-1139: Apple

  • IOHIDFamily

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: złośliwe urządzenie HID może spowodować wykonanie dowolnego kodu.

    Opis: w interfejsie API komponentu IOHIDFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-1095: Andrew Church

  • IOHIDFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w interfejsie API IOHIDFamily występowało przepełnienie buforu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-1140: użytkownik lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP, Luca Todesco, Vitaliy Toropov w ramach programu Zero Day Initiative firmy HP

  • IOHIDFamily

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w komponencie IOHIDFamily występował błąd powodujący ujawnianie zawartości pamięci jądra. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-1096: Ilja van Sprundel z IOActive

  • IOHIDFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występował błąd powodujący przepełnienie buforu sterty. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2014-4404: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez rozszerzenie IOHIDFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury sprawdzania właściwości odwzorowania klawiszy IOHIDFamily.

    Identyfikator CVE

    CVE-2014-4405: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Zagrożenie: użytkownik może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: występuje problem z zapisem poza prawidłowym zakresem w sterowniku IOHIDFamily. Rozwiązanie tego problemu polega na poprawieniu mechanizmu sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2014-4380: cunzhang z Adlab of Venustech

  • Jądro

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu.

    Opis: w procedurze obsługi operacji pamięci wirtualnej w jądrze występował błąd. Został on naprawiony przez poprawienie procedury obsługi operacji mach_vm_read.

    Identyfikator CVE

    CVE-2015-1141: Ole Andre Vadla Ravnas z www.frida.re

  • Jądro

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

    Opis: w wywołaniu systemowym jądra setreuid występował problem związany z sytuacją wyścigu. Ten problem rozwiązano przez poprawienie procedury zarządzania stanem.

    Identyfikator CVE

    CVE-2015-1099: Mark Mentovai z Google Inc.

  • Jądro

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: aplikacja lokalna może podnieść swoje uprawnienia przy użyciu usługi ze złamanymi zabezpieczeniami, która powinna działać z obniżonymi uprawnieniami.

    Opis: wywołania systemowe setreuid i setregid nie usuwały trwale uprawnień. Ten problem rozwiązano przez prawidłowe usuwanie uprawnień.

    Identyfikator CVE

    CVE-2015-1117: Mark Mentovai z Google Inc.

  • Jądro

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może spowodować przekierowanie ruchu użytkownika do dowolnych hostów.

    Opis: w systemie OS X były domyślnie włączone przekierowania ICMP. Ten problem rozwiązano przez wyłączenie przekierowań ICMP.

    Identyfikator CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Jądro

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

    Opis: w procedurze obsługi nagłówków TCP występowała niespójność stanu. Ten problem rozwiązano przez poprawienie procedury obsługi stanu.

    Identyfikator CVE

    CVE-2015-1102: Andrey Khudyakov i Maxim Zhuravlev z Kaspersky Lab

  • Jądro

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

    Opis: w jądrze występował błąd dostępu do pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-1100: Maxime Villard, witryna m00nbsd

  • Jądro

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: osoba atakująca zdalnie może być w stanie obejść filtry sieciowe.

    Opis: system mógł traktować pewne pakiety IPv6 ze zdalnych interfejsów sieciowych jako pakiety lokalne. Ten problem rozwiązano przez odrzucanie takich pakietów.

    Identyfikator CVE

    CVE-2015-1104: Stephen Roettger z zespołu do spraw bezpieczeństwa w firmie Google

  • Jądro

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-1101: użytkownik lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP

  • Jądro

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

    Opis: w procedurze obsługi danych TCP poza pasmem występowała niespójność stanu. Ten problem rozwiązano przez poprawienie procedury zarządzania stanem.

    Identyfikator CVE

    CVE-2015-1105: Kenton Varda z Sandstorm.io

  • Usługi uruchamiania

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może być w stanie spowodować wystąpienie awarii Findera.

    Opis: w procedurze obsługi danych lokalizacji aplikacji w usługach LaunchServices występował błąd sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych lokalizacji.

    Identyfikator CVE

    CVE-2015-1142

  • Usługi uruchamiania

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi zlokalizowanych ciągów w usługach LaunchServices występował błąd pomieszania typów. Rozwiązanie tego problemu polega na wprowadzeniu dodatkowych procedur sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-1143: Apple

  • libnetcore

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: przetworzenie złośliwie spreparowanego profilu konfiguracji może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

    Opis: w procedurze obsługi profilów konfiguracji występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang i Tao Wei z FireEye, Inc.

  • ntp

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: osoba atakująca zdalnie może być w stanie ujawnić klucze uwierzytelniania ntpd metodą pełnego przeglądu.

    Opis: funkcja config_auth w demonie ntpd generowała słaby klucz, gdy klucz uwierzytelniania nie był skonfigurowany. Ten problem rozwiązano przez poprawienie mechanizmu generowania kluczy.

    Identyfikator CVE

    CVE-2014-9298

  • OpenLDAP

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: zdalny nieuwierzytelniony klient może spowodować atak typu „odmowa usługi”.

    Opis: w programie OpenLDAP występowały liczne błędy sprawdzania poprawności danych wejściowych. Te problemy rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-1545: Ryan Tandy

    CVE-2015-1546: Ryan Tandy

  • OpenSSL

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: istnieje wiele luk w zabezpieczeniach programu OpenSSL.

    Opis: oprogramowanie OpenSSL 0.9.8zc zawierało liczne luki w zabezpieczeniach, z których jedna mogła umożliwić osobie atakującej przechwycenie połączeń z serwerem obsługującym szyfry eksportowe. Te problemy rozwiązano przez uaktualnienie oprogramowania OpenSSL do wersji 0.9.8zd.

    Identyfikator CVE

    CVE-2014-3569

    CVE-2014-3570

    CVE-2014-3571

    CVE-2014-3572

    CVE-2014-8275

    CVE-2015-0204

  • Klient usługi Open Directory

    Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: podczas korzystania z usługi Open Directory z serwera OS X Server hasło mogło zostać przesłane przez sieć w niezaszyfrowanej postaci.

    Opis: jeśli klient usługi Open Directory był powiązany z serwerem OS X Server, ale nie zainstalował certyfikatów tego serwera, a użytkownik klienta zmienił swoje hasło, żądanie zmiany hasła było przesyłane przez sieć bez szyfrowania. Ten problem rozwiązano przez wymaganie szyfrowania przez klienta w takim przypadku.

    Identyfikator CVE

    CVE-2015-1147: Apple

  • PHP

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: istnieje wiele luk w zabezpieczeniach języka PHP.

    Opis: język PHP Apache w wersji starszej niż 5.3.29, 5.4.38 i 5.5.20 zawiera szereg luk w zabezpieczeniach, z których jedna może umożliwić wykonanie dowolnego kodu. Te problemy rozwiązano przez uaktualnienie języka PHP do wersji 5.3.29, 5.4.38 lub 5.5.20.

    Identyfikator CVE

    CVE-2013-6712

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-2497

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3538

    CVE-2014-3587

    CVE-2014-3597

    CVE-2014-3668

    CVE-2014-3669

    CVE-2014-3670

    CVE-2014-3710

    CVE-2014-3981

    CVE-2014-4049

    CVE-2014-4670

    CVE-2014-4698

    CVE-2014-5120

  • Szybki przegląd

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: otwarcie złośliwie spreparowanego pliku pakietu iWork może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi plików pakietu iWork występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-1098: Christopher Hickstein

  • SceneKit

    Dostępne dla: systemu OS X Mountain Lion 10.8.5

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku Collada może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi plików Collada przez komponent SceneKit występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku Collada mogło doprowadzić do wykonania dowolnego kodu. Ten problem rozwiązano przez poprawienie procedury sprawdzania elementów metody dostępu.

    Identyfikator CVE

    CVE-2014-8830: Jose Duart z Google Security Team

  • Współdzielenie ekranu

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: hasło użytkownika może zostać zarejestrowane w pliku lokalnym.

    Opis: w pewnych okolicznościach funkcja współdzielenia ekranu może zarejestrować hasło użytkownika, które nie jest czytelne dla innych użytkowników systemu. Rozwiązanie tego problemu polega na usunięciu rejestrowania poświadczenia.

    Identyfikator CVE

    CVE-2015-1148: Apple

  • Zabezpieczenia — podpisywanie kodu

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: nie można zapobiec uruchomieniu zmodyfikowanych aplikacji.

    Opis: aplikacje zawierające specjalnie spreparowane pakiety mogły uruchamiać się bez prawidłowego podpisu. Ten problem rozwiązano przez zastosowanie dodatkowych testów sprawdzających.

    Identyfikator CVE

    CVE-2015-1145

    CVE-2015-1146

  • Identyfikatory UTI

    Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w procedurze obsługi identyfikatorów UTI (Uniform Type Identifier) występowało przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-1144: Apple

  • WebKit

    Dostępne dla: systemu OS X Yosemite w wersji od 10.10 do 10.10.2

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w oprogramowaniu WebKit występował błąd, który mógł spowodować uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-1069: użytkownik lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP

Uaktualnienie zabezpieczeń 2015-004 (dostępne dla systemów OS X Mountain Lion 10.8.5 i OS X Mavericks 10.9.5) usuwa także błąd spowodowany przez poprawkę problemu CVE-2015-1067 w uaktualnieniu zabezpieczeń 2015-002. Ten problem uniemożliwiał klientom usługi Zdalne zdarzenia Apple w dowolnej wersji połączenie z serwerem usługi Zdalne zdarzenia Apple. W konfiguracji domyślnej usługa Zdalne zdarzenia Apple nie jest włączona.

System OS X Yosemite 10.10.3 zawiera zawartość związaną z zabezpieczeniami z przeglądarki Safari 8.0.5.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: