Zawartość związana z zabezpieczeniami w systemie OS X Yosemite 10.10.3 i uaktualnieniu zabezpieczeń 2015-004

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie OS X Yosemite 10.10.3 i uaktualnieniu zabezpieczeń 2015-004.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, które ułatwiają uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

System OS X Yosemite 10.10.3 i uaktualnienie zabezpieczeń 2015-004

Admin Framework
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: proces może uzyskać uprawnienia administratora bez poprawnego uwierzytelnienia.
Opis: w mechanizmie sprawdzania uprawnień XPC występował błąd. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania uprawnień.
Identyfikator CVE
CVE-2015-1130: Emil Kvarnhammar z TrueSec
apache
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: wiele luk w zabezpieczeniach serwera Apache.
Opis: oprogramowanie Apache w wersji starszej niż 2.4.10 i 2.2.29 zawierało szereg luk w zabezpieczeniach, z których jedna mogła pozwolić osobie atakującej zdalnie na wykonanie dowolnego kodu. Te błędy naprawiono przez uaktualnienie oprogramowania Apache do wersji 2.4.10 lub 2.2.29.
Identyfikator CVE
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231

ATS
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie fontd występowały liczne błędy sprawdzania poprawności danych wejściowych. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2015-1131: Ian Beer z Google Project Zero
CVE-2015-1132: Ian Beer z Google Project Zero
CVE-2015-1133: Ian Beer z Google Project Zero
CVE-2015-1134: Ian Beer z Google Project Zero
CVE-2015-1135: Ian Beer z Google Project Zero

Certificate Trust Policy
Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.
Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Zobacz pełną listę certyfikatów.

CFNetwork HTTPProtocol
Dostępne dla: systemu OS X Yosemite 10.10 do 10.10.2
Zagrożenie: pliki cookie należące do jednego źródła mogą zostać wysłane do innego źródła.
Opis: w procedurze obsługi przekierowań występował błąd związany z międzydomenowymi plikami cookie. Pliki cookie ustawione w odpowiedzi przekierowania mogły zostać przekazane do miejsca docelowego przekierowania należącego do innego źródła. Ten problem rozwiązano przez poprawienie procedury obsługi przekierowań.
Identyfikator CVE
CVE-2015-1089: Niklas Keller (http://kelunik.com)

CFNetwork Session
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: poświadczenia uwierzytelniania mogą zostać wysłane do serwera w innym źródle.
Opis: w procedurze obsługi przekierowań występował błąd związany z nagłówkami międzydomenowego żądania HTTP. Nagłówki żądania HTTP wysyłane w odpowiedzi przekierowania mogły zostać przekazane do innego źródła. Ten problem rozwiązano przez poprawienie procedury obsługi przekierowań.
Identyfikator CVE
CVE-2015-1091: Diego Torres (http://dtorres.me)

CFURL
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi adresów URL występował błąd sprawdzania poprawności danych wejściowych. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów URL.
Identyfikator CVE
CVE-2015-1088: Luigi Galli

CoreAnimation
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: w oprogramowaniu CoreAnimation występował błąd dotyczący używania po zwolnieniu. Ten błąd naprawiono przez poprawienie procedur zarządzania muteksami.
Identyfikator CVE
CVE-2015-1136: Apple

CUPS
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: lokalny użytkownik może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: w sposobie obsługi komunikatów IPP przez usługę CUPS występował błąd dotyczący używania po zwolnieniu. Ten błąd naprawiono przez poprawienie obliczania wartości referencyjnych.
Identyfikator CVE
CVE-2015-1158: Neel Mehta z Google

CUPS
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: w określonych konfiguracjach osoba atakująca zdalnie może być w stanie przesłać dowolne zadania drukowania.
Opis: w interfejsie internetowym usługi CUPS występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten błąd naprawiono przez poprawienie mechanizmu oczyszczania.
Identyfikator CVE
CVE-2015-1159: Neel Mehta z Google

FontParser
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1093: Marc Schoenefeld

Graphics Driver
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi niektórych typów klientów użytkowników IOService przez sterownik graficzny firmy NVIDIA występowała dereferencja wskaźnika NULL. Ten błąd naprawiono przez wprowadzenie dodatkowej procedury sprawdzania poprawności.
Identyfikator CVE
CVE-2015-1137: Frank Graziano i John Villamil z Yahoo Pentest Team

Hypervisor
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: aplikacja lokalna może spowodować atak typu „odmowa usługi”.
Opis: w szkielecie hypervisora występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2015-1138 : Izik Eidus i Alex Fishman

ImageIO
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: przetworzenie złośliwie spreparowanego pliku SGI może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików SGI występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1139: Apple

IOHIDFamily
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: złośliwe urządzenie HID może spowodować wykonanie dowolnego kodu.
Opis: w interfejsie API komponentu IOHIDFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1095: Andrew Church
IOHIDFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOHIDFamily występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1140: lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP, Luca Todesco, Vitaliy Toropov w ramach programu Zero Day Initiative (ZDI) firmy HP
IOHIDFamily
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.
Opis: w komponencie IOHIDFamily występował błąd powodujący ujawnianie zawartości pamięci jądra. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1096: Ilja van Sprundel z IOActive
IOHIDFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości odwzorowania klawiszy przez komponent IOHIDFamily występował błąd powodujący przepełnienie buforu sterty. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2014-4404: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Zagrożenie: złośliwa aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi właściwości mapowania klawiszy przez komponent IOHIDFamily występowała dereferencja wskaźnika NULL. Ten problem rozwiązano przez poprawienie procedury obsługi właściwości mapowania klawiszy w komponencie IOHIDFamily.
Identyfikator CVE
CVE-2014-4405: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Zagrożenie: użytkownik może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: występuje problem z zapisem poza prawidłowym zakresem w sterowniku IOHIDFamily. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2014-4380: cunzhang z Adlab of Venustech
Kernel
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu.
Opis: w procedurze obsługi operacji pamięci wirtualnej w jądrze występował błąd. Ten błąd naprawiono przez poprawienie procedury obsługi operacji mach_vm_read.
Identyfikator CVE
CVE-2015-1141: Ole Andre Vadla Ravnas z www.frida.re
Kernel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: w wywołaniu systemowym jądra setreuid występował problem związany z sytuacją wyścigu. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
Identyfikator CVE
CVE-2015-1099: Mark Mentovai z Google Inc.
Kernel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: aplikacja lokalna może podnieść swoje uprawnienia przy użyciu usługi ze złamanymi zabezpieczeniami, która powinna działać z obniżonymi uprawnieniami.
Opis: wywołania systemowe setreuid i setregid nie usuwały trwale uprawnień. Ten problem rozwiązano przez prawidłowe usuwanie uprawnień.
Identyfikator CVE
CVE-2015-1117: Mark Mentovai z Google Inc.
Kernel
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może spowodować przekierowanie ruchu użytkownika do dowolnych hostów.
Opis: w systemie OS X były domyślnie włączone przekierowania ICMP. Ten problem rozwiązano przez wyłączenie przekierowań ICMP.
Identyfikator CVE
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.
Opis: w procedurze obsługi nagłówków TCP występowała niespójność stanu. Ten problem rozwiązano przez poprawienie procedury obsługi stanu.
Identyfikator CVE
CVE-2015-1102: Andrey Khudyakov i Maxim Zhuravlev z Kaspersky Lab
Kernel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: w jądrze występował błąd dostępu do pamięci spoza dozwolonego zakresu. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1100: Maxime Villard z m00nbsd
Kernel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: osoba atakująca zdalnie może być w stanie obejść filtry sieciowe.
Opis: system mógł traktować pewne pakiety IPv6 ze zdalnych interfejsów sieciowych jako pakiety lokalne. Ten problem rozwiązano przez odrzucanie takich pakietów.
Identyfikator CVE
CVE-2015-1104: Stephen Roettger z Google Security Team
Kernel
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1101: lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP
Kernel
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: w procedurze obsługi danych TCP poza pasmem występowała niespójność stanu. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
Identyfikator CVE
CVE-2015-1105: Kenton Varda z Sandstorm.io
LaunchServices
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może być w stanie spowodować wystąpienie awarii Findera.
Opis: w procedurze obsługi danych lokalizacji aplikacji w usługach LaunchServices występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych lokalizacji.
Identyfikator CVE
CVE-2015-1142
LaunchServices
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi zlokalizowanych ciągów w usługach LaunchServices występował błąd pomieszania typów. Ten błąd naprawiono przez wprowadzenie dodatkowych procedur sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1143: Apple
libnetcore
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: przetworzenie złośliwie spreparowanego profilu konfiguracji może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w procedurze obsługi profilów konfiguracji występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang i Tao Wei z FireEye, Inc.
ntp
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: osoba atakująca zdalnie może być w stanie ujawnić klucze uwierzytelniania ntpd metodą pełnego przeglądu.
Opis: funkcja config_auth w demonie ntpd generowała słaby klucz, gdy klucz uwierzytelniania nie był skonfigurowany. Ten błąd naprawiono przez poprawienie mechanizmu generowania kluczy.
Identyfikator CVE
CVE-2014-9298
OpenLDAP
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: zdalny nieuwierzytelniony klient może spowodować atak typu „odmowa usługi”.
Opis: w programie OpenLDAP występowały liczne błędy sprawdzania poprawności danych wejściowych. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: liczne luki w zabezpieczeniach programu OpenSSL.
Opis: oprogramowanie OpenSSL 0.9.8zc zawierało liczne luki w zabezpieczeniach, z których jedna mogła umożliwić osobie atakującej przechwycenie połączeń z serwerem obsługującym szyfry eksportowe. Te błędy naprawiono przez uaktualnienie oprogramowania OpenSSL do wersji 0.9.8zd.
Identyfikator CVE
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory Client
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: podczas korzystania z usługi Open Directory z serwera OS X Server hasło mogło zostać przesłane przez sieć w niezaszyfrowanej postaci.
Opis: jeśli klient usługi Open Directory był powiązany z serwerem OS X Server, ale nie zainstalował certyfikatów tego serwera, a użytkownik klienta zmienił swoje hasło, żądanie zmiany hasła było przesyłane przez sieć bez szyfrowania. Ten problem rozwiązano przez wymaganie szyfrowania przez klienta w takim przypadku.
Identyfikator CVE
CVE-2015-1147: Apple
PHP
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: liczne luki w zabezpieczeniach języka PHP.
Opis: język PHP Apache w wersji starszej niż 5.3.29, 5.4.38 i 5.5.20 zawiera szereg luk w zabezpieczeniach, z których jedna może umożliwić wykonanie dowolnego kodu. To uaktualnienie naprawia ten błąd przez uaktualnienie języka PHP do wersji 5.3.29, 5.4.38 lub 5.5.20.
Identyfikator CVE
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120

QuickLook

Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: otwarcie złośliwie spreparowanego pliku pakietu iWork może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików pakietu iWork występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1098: Christopher Hickstein
SceneKit
Dostępne dla: systemu OS X Mountain Lion 10.8.5
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku Collada może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików Collada przez komponent SceneKit występowało przepełnienie buforu sterty. Wyświetlenie złośliwie spreparowanego pliku Collada mogło doprowadzić do wykonania dowolnego kodu. Ten błąd naprawiono przez poprawienie procedury sprawdzania elementów metody dostępu.
Identyfikator CVE
CVE-2014-8830: Jose Duart z Google Security Team
Screen Sharing
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: hasło użytkownika może zostać zarejestrowane w pliku lokalnym.
Opis: w pewnych okolicznościach funkcja współdzielenia ekranu może zarejestrować hasło użytkownika, które nie jest czytelne dla innych użytkowników systemu. Ten problem rozwiązano przez wyłączenie rejestrowania poświadczeń.
Identyfikator CVE
CVE-2015-1148: Apple
Secure Transport
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu X.509 może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w procedurze obsługi certyfikatów X.509 występował błąd dereferencji wskaźnika NULL. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2015-1160: Elisha Eshed, Roy Iarchy i Yair Amit ze Skycure Security Research
Security - Code Signing
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: nie można zapobiec uruchomieniu zmodyfikowanych aplikacji.
Opis: aplikacje zawierające specjalnie spreparowane pakiety mogły uruchamiać się bez prawidłowego podpisu. Ten błąd naprawiono przez zastosowanie dodatkowych testów sprawdzających.
Identyfikator CVE
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 do 10.10.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w procedurze obsługi identyfikatorów UTI (Uniform Type Identifier) występowało przepełnienie buforu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1144: Apple
WebKit
Dostępne dla: systemów OS X Yosemite 10.10 do 10.10.2
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występował błąd, który mógł spowodować uszkodzenie zawartości pamięci. Te błędy rozwiązano przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2015-1069: lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP

Uaktualnienie zabezpieczeń 2015-004 (dostępne dla systemów OS X Mountain Lion 10.8.5 i OS X Mavericks 10.9.5) usuwa także błąd spowodowany przez poprawkę problemu CVE-2015-1067 w uaktualnieniu zabezpieczeń 2015-002. Ten problem uniemożliwiał klientom usługi Zdalne zdarzenia Apple w dowolnej wersji połączenie z serwerem usługi Zdalne Apple Events. W konfiguracjach domyślnych usługa Zdalne Apple Events nie jest włączona.

System OS X Yosemite 10.10.3 obejmuje zawartość związaną z zabezpieczeniami z przeglądarki Safari 8.0.5.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 6 grudnia 2023 г.