W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Safari 8.0.6, Safari 7.1.6 i Safari 6.2.6
WebKit
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: w oprogramowaniu WebKit występowało kilka błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-1152: Apple
CVE-2015-1153: Apple
CVE-2015-1154: Apple
WebKit — historia
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny mogło doprowadzić do naruszenia bezpieczeństwa informacji użytkownika w systemie plików.
Opis: w przeglądarce Safari występował błąd zarządzania stanem, który umożliwiał nieuprawnionym źródłom uzyskiwanie dostępu do systemu plików. Ten problem rozwiązano przez poprawienie procedury zarządzania stanem.
Identyfikator CVE
CVE-2015-1155: Joe Vennix z Rapid7 Inc. w ramach programu Zero Day Initiative firmy HP
WebKit — wczytywanie stron
Dostępne dla: systemów OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5 i OS X Yosemite 10.10.3
Zagrożenie: odwiedzenie złośliwej witryny przez kliknięcie łącza mogło prowadzić do fałszowania interfejsu użytkownika.
Opis: w mechanizmie obsługi atrybutu rel w elementach anchor występował błąd. Obiekty docelowe mogły uzyskać nieautoryzowany dostęp do obiektów łączy. Ten problem rozwiązano przez poprawienie zgodności typów łączy.
Identyfikator CVE
CVE-2015-1156: Zachary Durber z Moodle