Om säkerhetsinnehållet i OS X Yosemite 10.10.4 och säkerhetsuppdatering 2015-005
Det här dokumentet beskriver säkerhetsinnehållet i OS X Yosemite 10.10.4 och säkerhetsuppdatering 2015-005.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
OS X Yosemite 10.10.4 och säkerhetsuppdatering 2015-005
Admin Framework
Tillgängligt för: OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: En process kan få administratörsbehörighet utan korrekt autentisering
Beskrivning: Ett problem uppstod vid kontroll av XPC-rättigheter. Problemet åtgärdades genom förbättrad behörighetskontroll.
CVE-ID
CVE-2015-3671: Emil Kvarnhammar på TrueSec
Admin Framework
Tillgängligt för: OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: En icke-administratör kan få administratörsbehörighet
Beskrivning: Det fanns ett problem vid autentisering av användare. Problemet åtgärdades genom förbättrad felkontroll.
CVE-ID
CVE-2015-3672: Emil Kvarnhammar på TrueSec
Admin Framework
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare kan missbruka Katalogverktyg för att få rotbehörighet
Beskrivning: Katalogverktyg kunde flyttas och modifieras för att köra kod i en behörig process. Problemet åtgärdades genom en begränsning av diskplatsen som writeconfig-klienter kan exekveras från.
CVE-ID
CVE-2015-3673: Patrick Wardle från Synack, Emil Kvarnhammar på TrueSec
apfserver
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En fjärrangripare kan orsaka oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Det fanns ett problem med minneskorruption i AFP-servern. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3674: Dean Jerkovich från NCC Group
apache
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare kan få åtkomst till kataloger som skyddas med HTTP-autentisering utan att känna till rätt autentiseringsuppgifter
Beskrivning: Apache-standardkonfigurationen innehöll inte mod_hfs_apple. Om Apache aktiverades manuellt och konfigurationen inte ändrades, kunde vissa filer som inte skulle varit tillgängliga bli tillgängliga med en speciellt utformad URL. Problemet åtgärdades genom att aktivera mod_hfs_apple.
CVE-ID
CVE-2015-3675: Apple
apache
Tillgängligt för: OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Det finns flera sårbarheter i PHP, varav den allvarligaste kan leda till körning av opålitlig kod
Beskrivning: Flera sårbarheter fanns i PHP-versioner före 5.5.24 och 5.4.40. Dessa åtgärdades genom att uppdatera PHP till versionerna 5.5.24 och 5.4.40.
CVE-ID
CVE-2015-0235
CVE-2015-0273
AppleGraphicsControl
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan fastställa kernelns minneslayout
Beskrivning: Det fanns ett problem i AppleGraphicsControl som kan ha lett till att kernelns minneslayout avslöjats. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-3676: Chen Liang från KEEN Team
AppleFSCompression
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan fastställa kernelns minneslayout
Beskrivning: Det fanns ett problem i LZVN-komprimeringen som kan ha lett till att innehåll i kernelminnet avslöjats. Problemet åtgärdades genom förbättrad minneshantering.
CVD-ID
CVE-2015-3677: Anonym forskare i samarbete med HP:s Zero Day Initiative
AppleThunderboltEDMService
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: A memory corruption issue existed in the handling of certain Thunderbolt commands from local processes. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3678: Apple
ATS
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Bearbetning av en teckensnittsfil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Flera problem med minneskorruption förekom i hanteringen av vissa teckensnitt. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3679: Pawel Wylecial i samarbete med HP:s Zero Day Initiative
CVE-2015-3680: Pawel Wylecial i samarbete med HP:s Zero Day Initiative
CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3682: 魏诺德
Bluetooth
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: Det fanns ett problem med minneskorruption i Bluetooth HCI-gränssnittet. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3683: Roberto Paleari och Aristide Fattori på Emaze Networks
Certificate Trust Policy
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare med en behörig nätverksposition kan ha avlyssna nätverkstrafik.
Beskrivning: Ett mellanliggande certifikat utfärdades felaktigt av certifikatutfärdaren CNNIC. Problemet åtgärdades genom tillägg av en mekanism för att endast lita på en deluppsättning av de certifikat som utfärdats före det felaktigt utfärdade mellanliggande certifikatet. Läs mer om listan för säkerhet genom partiellt förtroende.
Certificate Trust Policy
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Beskrivning: Policyn för förtroende för certifikat uppdaterades. En fullständig lista med certifikat finns i OS X Trust Store.
CFNetwork HTTPAuthentication
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Att följa en skadlig webbadress kan leda till körning av opålitlig kod.
Beskrivning: Att följa en skadlig webbadress kan leda till körning av opålitlig kod. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3684: Apple
CoreText
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Bearbetning av en textfil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Flera problem med minneskorruption förekom vid bearbetning av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1157
CVE-2015-3685: Apple
CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team
CVE-2015-3689: Apple
coreTLS
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare med en behörig nätverksposition kan avlyssna SSL/TLS-anslutningar.
Beskrivning: coreTLS accepterade korta flyktiga Diffie-Hellman-nycklar (DH), som används i flyktiga DH-chiffersviter med exportstyrka. Problemet, även känt som Logjam, tillät en angripare med en behörig nätverksposition att nedgradera säkerheten till 512-bitars DH om servern hade stöd för en DH-chiffersvit med exportstyrka. Problemet åtgärdades genom att öka standardinställningen för minsta tillåtna minimumstorlek för flyktiga DH-nycklar till 768 bitar.
CVE-ID
CVE-2015-4000: Weakdh-teamet på weakdh.org, Hanno Boeck
DiskImages
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan fastställa kernelns minneslayout.
Beskrivning: Det fanns ett problem med att information avslöjades i bearbetningen av diskavbilder. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3690: Peter Rutenbar i samarbete med HP:s Zero Day Initiative
Display Drivers
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: Det fanns ett problem i kerneltillägget Monitor Control Command Set genom vilket en userland-process kunde styra värdet på en funktionspekare i kerneln. Detta problem åtgärdades genom att ta bort det påverkade gränssnittet.
CVE-ID
CVE-2015-3691: Roberto Paleari och Aristide Fattori från Emaze Networks
EFI
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program med rotbehörighet kan ändra EFI-flashminnet.
Beskrivning: Det fanns ett problem med otillräcklig låsning av EFI-flash vid väckning från viloläge. Problemet åtgärdades genom förbättrad låsning.
CVE-ID
CVE-2015-3692: Trammell Hudson på Two Sigma Investments, Xeno Kovah och Corey Kallenberg på LegbaCore LLC, Pedro Vilaça
EFI
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan orsaka minneskorruption för att eskalera behörigheter.
Beskrivning: Ett störningsfel, även känt som Rowhammer, finns med vissa DDR3 RAM som kan ha lett till minneskorruption. Problemet åtgärdades genom att öka minnesuppdateringsfrekvensen.
CVE_ID
CVE-2015-3693: Mark Seaborn och Thomas Dullien från Google, vars arbete baseras på forskning av Yoongu Kim med flera (2014)
FontParser
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Bearbetning av en teckensnittsfil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team
Graphics Driver
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: Det fanns ett problem med skrivning utanför gränserna i NVIDIA:s grafikdrivrutin. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-3712: Ian Beer på Google Project Zero
Intel Graphics Driver
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Det finns flera problem med buffertspill i Intel-grafikdrivrutinen, av vilka det allvarligaste kan leda till körning av opålitlig kod med systembehörighet.
Beskrivning: Det fanns flera problem med buffertspill i Intel-grafikdrivrutinen. Det åtgärdades genom utökad gränskontroll.
CVE-ID
CVE-2015-3695: Ian Beer på Google Project Zero
CVE-2015-3696: Ian Beer på Google Project Zero
CVE-2015-3697: Ian Beer på Google Project Zero
CVE-2015-3698: Ian Beer på Google Project Zero
CVE-2015-3699: Ian Beer på Google Project Zero
CVE-2015-3700: Ian Beer på Google Project Zero
CVE-2015-3701: Ian Beer på Google Project Zero
CVE-2015-3702: KEEN Team
ImageIO
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Det finns flera sårbarheter i libtiff, varav den allvarligaste kan leda till körning av opålitlig kod
Beskrivning: Det fanns flera sårbarheter i libtiff-versionerna före 4.0.4. Dessa åtgärdades genom att uppdatera libtiff till version 4.0.4.
CVE-ID
CVE-2014-8127
CVE-2014-8128
CVE-2014-8129
CVE-2014-8130
ImageIO
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Bearbetning av en skadlig .tiff-fil kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett problem med minneskorruption förekom vid bearbetning av .tiff-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-3703: Apple
Install Framework Legacy
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: Det fanns flera problem med hur setuid-binären ’runner’ i Install.framework släppte behörigheter. Problemet åtgärdades genom att sänka behörigheter korrekt.
CVE-ID
CVE-2015-3704: Ian Beer på Google Project Zero
IOAcceleratorFamily
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: Flera problem med minneskorruption förekom i IOAcceleratorFamily. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3705: KEEN Team
CVE-2015-3706: KEEN Team
IOFireWireFamily
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet.
Beskrivning: Flera problem med nollpekarreferens fanns i FireWire-drivrutinen. Dessa problem löstes genom förbättrad felsökning.
CVE-ID
CVE-2015-3707: Roberto Paleari och Aristide Fattori på Emaze Networks
Kernel
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan fastställa kernelns minneslayout.
Beskrivning: Det fanns ett problem med minneshanteringen i hanteringen av API:er relaterade till kerneltillägg, vilket kan ha lett till att kernelns minneslayout avslöjats. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3720: Stefan Esser
Kernel
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan fastställa kernelns minneslayout.
Beskrivning: Det fanns ett problem med minneshanteringen i hanteringen av HFS-parametrar vilket kan ha lett till att kernelns minneslayout avslöjats. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3721: Ian Beer på Google Project Zero
kext tools
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan skriva över godtyckliga filer.
Beskrivning: Kextd följde symboliska länkar när en ny fil skapades. Problemet löstes genom förbättrad hantering av symboliska länkar.
CVE-ID
CVE-2015-3708: Ian Beer på Google Project Zero
kext tools
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En lokal användare kan ladda osignerade kerneltillägg.
Beskrivning: Ett TOCTOU-konkurrenstillstånd (time-of-check time-of-use) uppstod vid validering av sökvägarna för kerneltillägg. Problemet åtgärdades genom ökade kontroller som validerar kerneltilläggets sökväg.
CVE-ID
CVE-2015-3709: Ian Beer på Google Project Zero
Mail
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt e-postmeddelande kan ersätta meddelandets innehåll med en godtycklig webbsida när meddelandet visas.
Beskrivning: Det fanns ett problem i stödet för HTML-e-post som gjorde att meddelandets innehåll kunde uppdateras med en godtycklig webbsida. Problemet åtgärdades genom begränsat stöd för HTML-innehåll.
CVE-ID
CVE-2015-3710: Aaron Sigel på vtty.com, Jan Souček
ntfs
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan fastställa kernelns minneslayout.
Beskrivning: Det fanns ett problem i NTFS som kan ha lett till att innehåll i kernelminnet avslöjats. Problemet åtgärdades genom förbättrad minneshantering.
CVE_ID
CVE-2015-3711: Peter Rutenbar i samarbete med HP:s Zero Day Initiative
ntp
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare i en behörig position kan utföra en överbelastningsattack mot två ntp-klienter.
Beskrivning: Det fanns flera problem med autentiseringen av ntp-paket som togs emot av konfigurerade slutpunkter. Problemet åtgärdades genom förbättrad tillståndshantering av anslutningar.
CVE-ID
CVE-2015-1798
CVE-2015-1799
OpenSSL
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Det fanns flera problem i OpenSSL, bland annat ett problem som kan göra att en angripare kan fånga upp anslutningar till en server med stöd för chiffer av exportgrad.
Beskrivning: Flera problem fanns i OpenSSL 0.9.8zd som åtgärdades genom att uppdatera OpenSSL till version 0.9.8zf.
CVE-ID
CVE-2015-0209
CVE-2015-0286
CVE-2015-0287
CVE-2015-0288
CVE-2015-0289
CVE-2015-0293
QuickTime
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Behandling av en skadligt utformad filmfil kan leda till oväntad avslutning av programmet eller exekvering av godtycklig kod.
Beskrivning: Flera problem med minneskorruption förekom i QuickTime. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3661: G. Geshev i samarbete med HP:s Zero Day Initiative
CVE-2015-3662: Kdot i samarbete med HP:s Zero Day Initiative
CVE-2015-3663: Kdot i samarbete med HP:s Zero Day Initiative
CVE-2015-3666: Steven Seeley på Source Incite i samarbete med HP:s Zero Day Initiative
CVE-2015-3667: Ryan Pentney, Richard Johnson på Cisco Talos och Kai Lu från Fortinets FortiGuard Labs
CVE-2015-3668: Kai Lu från Fortinets FortiGuard Labs
CVE-2015-3713: Apple
Security
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare kan orsaka oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Det fanns ett heltalsspill i koden för säkerhetsramverket för tolkning av S/MIME-e-post och vissa andra signerade eller krypterade objekt. Problemet åtgärdades genom förbättrad valideringskontroll.
CVE-ID
CVE-2013-1741
Security
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Manipulerade program kan inte förhindras från att starta.
Beskrivning: Appar som använder anpassade resursregler kan ha varit mottagliga för manipulering som inte skulle ha ogiltigförklarat signaturen. Problemet har åtgärdats genom förbättrad resursvalidering.
CVE-ID
CVE-2015-3714: Joshua Pitts på Leviathan Security Group
Security
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt program kan kringgå kontroller av kodsignering.
Beskrivning: Det fanns ett problem där kodsignering inte verifierade bibliotek som laddats utanför programpaketet. Problemet har åtgärdats genom förbättrad paketvalidering.
CVE-ID
CVE-2015-3715: Patrick Wardle på Synack
Spotlight
Tillgängligt för: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 till v10.10.3
Effekt: Att söka efter en skadlig fil med Spotlight kan leda till kommandoinjektion.
Beskrivning: En sårbarhet för kommandoinjektion fanns i hanteringen av filnamn på foton som lagts till i det lokala fotobiblioteket. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-3716: Apple
SQLite
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En angripare kan orsaka oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Det fanns flera buffertsptill i SQLites printf-implementering. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-3717: Peter Rutenbar i samarbete med HP:s Zero Day Initiative
SQLite
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Ett skadligt utformat SQL-kommando kan leda till oväntad programavslutning av programmet körning av opålitlig kod.
Beskrivning: Det fanns ett API-problem i SQLite-funktionen. Det hanterades genom förbättrade begränsningar.
CVE-ID
CVE-2015-7036: Peter Rutenbar i samarbete med HP:s Zero Day Initiative
System Stats
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: En skadlig app kan kompromettera systemstatsd.
Beskrivning: Ett problem med typförväxling fanns i systemstatsd-hanteringen av kommunikation mellan processer. Genom att skicka ett skadligt meddelande till systemstatsd kan det ha varit möjligt att köra opålitlig kod som systemstatsd-processen. Problemet åtgärdades genom utökad typkontroll.
CVE-ID
CVE-2015-3718: Roberto Paleari och Aristide Fattori på Emaze Networks
TrueTypeScaler
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Bearbetning av en teckensnittsfil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team
zip
Tillgängligt för: OS X Yosemite v10.10 till v10.10.3
Effekt: Extrahering med uppackningsverktyget av en zip-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Flera problem med minneskorruption förekom i hanteringen av zip-filer. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-8139
CVE-2014-8140
CVE-2014-8141
I OS X Yosemite 10.10.4 ingår säkerhetsinnehållet i Safari 8.0.7.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.