Om säkerhetsinnehållet i OS X El Capitan 10.11
Det här dokumentet beskriver säkerhetsinnehållet i OS X El Capitan 10.11.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
OS X El Capitan 10.11
Adressbok
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal angripare kan få möjlighet att införa opålitlig kod i processer som läser in adressboksramverket
Beskrivning: Ett problem förekom i adressboksramverkets hantering av en miljövariabel. Problemet åtgärdades genom förbättrad miljövariabelhantering.
CVE-ID
CVE-2015-5897: Dan Bastone på Gotham Digital Science
AirScan
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare med privilegierad nätverksposition kunde extrahera nyttolast från eSCL-paket skickade över en säker anslutning
Beskrivning: Ett problem förekom i bearbetningen av eSCL-paket. Problemet har åtgärdats genom förbättrade valideringskontroller.
CVE-ID
CVE-2015-5853: en anonym forskare
apache_mod_php
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i PHP
Beskrivning: Flera sårbarheter förekom i PHP-versioner innan 5.5.27, bland annat en sårbarhet som kunde leda till fjärrkörning av kod. Det här problemet åtgärdades genom att uppdatera PHP till version 5.5.27.
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store Kit
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt program kunde få åtkomst till en användares nyckelringsobjekt
Beskrivning: Ett problem förekom i valideringen av åtkomstkontrollistor för objekt i iCloud-nyckelringen. Problemet åtgärdades genom förbättrade kontroller av åtkomstkontrollistor.
CVE-ID
CVE-2015-5836: XiaoFeng Wang på Indiana University, Luyi Xing på Indiana University, Tongxin Li på Peking University, Tongxin Li på Peking University, Xiaolong Bai på Tsinghua University
AppleEvents
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En användare ansluten genom skärmdelning kan skicka Apple Events till en lokal användares session
Beskrivning: Ett problem förekom med Apple Event-filtrering som medförde att vissa användare kunde skicka händelser till andra användare. Detta åtgärdades genom förbättrad Apple Event-hantering.
CVE-ID
CVE-2015-5849: Jack Lawrence (@_jackhl)
Ljud
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Uppspelning av en skadlig ljudfil kan leda till en oväntad programavslutning
Beskrivning: Ett minnesfel förekom i hantering av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea
bash
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i bash
Beskrivning: Flera sårbarheter förekom i bash-versioner före 3.2 patchnivå 57. Dessa problem hanterades genom att uppdatera bash version 3.2 till patchnivå 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Certifierad förtroendepolicy
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på https://support.apple.com/sv-se/HT202858.
CFNetwork-cookies
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare i en privilegierad nätverksposition kan spåra en användares aktivitet
Beskrivning: En cookie över flera domäner existerade i hanteringen av toppnivådomäner. Problemet åtgärdades genom förbättrade begränsningar för att skapa cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork FTPProtocol
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Skadliga FTP-servrar kan leda till att klienten kan spionera på andra värdar
Beskrivning: Ett problem förekom i hanteringen av FTP-paket vid användning av PASV-kommandot. Problemet löstes genom förbättrad validering.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En skadlig webbadress kunde kringgå HSTS och läcka känsliga data
Beskrivning: Det förekom sårbarhet vid webbadresstolkning i HSTS-hantering. Problemet åtgärdades genom förbättrad URL-tolkning.
CVE-ID
CVE-2015-5858: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork HTTPProtocol
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik
Beskrivning: Ett problem förekom i hanteringen av förhämtade HSTS-listposter i Safaris privata surfningsläge. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-5859: Rosario Giustolisi på University of Luxembourg
CFNetwork HTTPProtocol
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari
Beskrivning: Det förekom ett fel i hanteringen av HSTS-tillstånd med privat surfning i Safari. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-5860: Sam Greenhalgh på RadicalResearch Ltd
CFNetwork Proxies
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Vid anslutning till en skadlig webbproxy kan skadliga cookies för en webbplats ställas in
Beskrivning: Ett problem förekom i hanteringen av proxyanslutningssvar. Problemet hanterades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork SSL
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar
Beskrivning: Det förekom ett problem med certifikatvalidering i NSURL när ett certifikat ändrades. Problemet åtgärdades genom förbättrad certifikatvalidering.
CVE-ID
CVE-2015-5824: Timothy J. Wood på The Omni Group
CFNetwork SSL
Tillgängligt för: Mac OS X 10.6.8 och senare
Problem: En angripare kan avkryptera data som skyddas av SSL
Beskrivning: Det finns kända attacker på konfidentialiteten för RC4. En angripare kunde tvinga fram användning av RC4, även om servern föredrog bättre chiffer, genom att blockera TLS 1.0 och högre anslutningar tills CFNetwork provade SSL 3.0, som endast tillåter RC4. Problemet åtgärdades genom att användning av SSL 3.0 som reserv uteslöts.
CoreCrypto
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare kan bestämma en privat nyckel
Beskrivning: Genom att observera flera signerings- och avkrypteringsförsök kan en angripare avgöra den privata RSA-nyckel. Problemet hanterades genom förbättrade krypteringsalgoritmer.
CoreText
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Dev Tools
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i hanteringen av dyld. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5876: beist på grayhash
Dev Tools
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett program kan kringgå kodsignering
Beskrivning: Ett problem förekom med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5839: @PanguTeam
Skivavbilder
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett minnesfel förekom i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett program kan kringgå kodsignering
Beskrivning: Ett problem förekom med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5839: TaiG Jailbreak Team
EFI
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt program kan förhindra att vissa system startar
Beskrivning: Ett problem existerade med adresserna som täcktes in av det skyddade områdesregistret. Problemet åtgärdades genom ändring av det skyddade området.
CVE-ID
CVE-2015-5900: Xeno Kovah och Corey Kallenberg från LegbaCore
EFI
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En skadlig Apple Ethernet Thunderbolt-adapter kan påverka den fasta programvaran
Beskrivning: Apple Ethernet Thunderbolt-adaptrar kunde ändra den värdbaserade fasta programvaran om den anslöts under en EFI-uppdatering. Problemet åtgärdades genom att inte läsa in alternativa ROM under uppdatering.
CVE-ID
CVE-2015-5914: Trammell Hudson på Two Sigma Investments and snare
Finder
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Funktionen för säker tömning av papperskorgen kan inte ta bort filer som lagts i papperskorgen säkert
Beskrivning: Ett problem förekom vid garanterande av säker borttagning av filer i papperskorgen på vissa system, till exempel sådana med flashlagring. Problemet åtgärdades genom borttagning av alternativet för säker tömning av papperskorgen.
CVE-ID
CVE-2015-5901: Apple
Game Center
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt Game Center-program kan komma åt en spelares e-postadress
Beskrivning: Det förekom ett problem i Game Centers hantering av en spelares e-post. Problemet åtgärdades genom förbättrad åtkomstbegränsning.
CVE-ID
CVE-2015-5855: Nasser Alnasser
Heimdal
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare kunde eventuellt spela upp Kerberos-inloggningsuppgifter för SMB-servern
Beskrivning: Ett autentiseringsproblem förekom i Kerberos-inloggningsuppgifterna. Problemet åtgärdades genom ytterligare validering av inloggningsuppgifterna med en lista över nyligen visade inloggningsuppgifter.
CVE-ID
CVE-2015-5913: Tarun Chopra på Microsoft Corporation, U.S. och Yu Fan på Microsoft Corporation, China
ICU
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i ICU
Beskrivning: Flera sårbarheter fanns i ICU-versioner äldre än 53.1.0. De hanterades genom att uppdatera ICU till version 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand på Google Project Zero
Äldre Install Framework
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett begränsningsproblem förekom i ramverket för privat installation innehållande en privilegierad körbar fil. Problemet åtgärdades genom att den körbara filen togs bort.
CVE-ID
CVE-2015-5888: Apple
Intel Graphics-drivrutin
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter
Beskrivning: Flera minnesfel förekom i Intel-grafikdrivrutinen. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5830: Yuki MIZUNO (@mzyy94)
CVE-2015-5877: Camillus Gerard Cai
IOAudioFamily
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem förekom i IOAudioFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom permutering av kärnpekare.
CVE-ID
CVE-2015-5864: Luca Todesco
IOGraphics
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier
Beskrivning: Flera minnesfel förekom i en kernel. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5871: Ilja van Sprundel på IOActive
CVE-2015-5872: Ilja van Sprundel på IOActive
CVE-2015-5873: Ilja van Sprundel på IOActive
CVE-2015-5890: Ilja van Sprundel på IOActive
IOGraphics
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem förekom i IOGraphics och kan ha avslöjat schemat för kärnminnet. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5865: Luca Todesco
IOHIDFamily
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Flera minnesfel förekom i IOHIDFamily. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5866: Apple
CVE-2015-5867: moony li på Trend Micro
IOStorageFamily
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal angripare kan läsa kärnminne
Beskrivning: Ett fel med minnesinitialisering förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel på IOActive
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier
Beskrivning: Flera minnesfel förekom i en kernel. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5868: Cererdlong på Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard på m00nbsd
CVE-2015-5903: CESG
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal process kan ändra andra processer utan behörighetskontroller
Beskrivning: Det förekom ett problem där rotprocesser som använder processor_set_tasks API tilläts hämta task port för andra processer. Problemet åtgärdades genom ytterligare behörighetskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça, med hjälp av ursprunglig forskning av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal angripare kan styra värdet för cookies i stacken
Beskrivning: Det förekom flera svagheter när cookies i stacken för användarutrymmet skulle genereras. Problemen åtgärdades genom förbättrad generering av stackcookies.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare kan starta denial of service-attacker med TCP-anslutningar som mål utan att känna till korrekt sekvensnummer
Beskrivning: Det förekom ett problem med xnu:s validering av TCP-paketrubriker. Problemet åtgärdades genom förbättrad TCP-paketrubrikvalidering.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare i ett lokalt LAN-segment kunde avaktivera IPv6-routing
Beskrivning: Ett problem med otillräcklig validering förekom i hantering av IPv6-routerannonsering som tillät en angripare att sätta hopgränsen till ett godtyckligt värde. Problemet hanterades genom att införa en gräns för minsta antal hopp.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem förekom som ledde till att schemat för kärnminnet avslöjades. Det hanterades genom förbättrad initiering av kärnminnesstrukturer.
CVE-ID
CVE-2015-5842: beist of grayhash
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem förekom i felsökningsgränssnitt som ledde till att minnesinnehåll avslöjades. Problemet åtgärdades genom rensning av utdata från felsökningsgränssnitt.
CVE-ID
CVE-2015-5870: Apple
Kernel
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Det förekom ett problem med tillståndshantering i felsökningsfunktionen. Problemet har åtgärdats genom förbättrad validering.
CVE-ID
CVE-2015-5902: Sergi Alvarez (pancake) på NowSecure Research Team
libc
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare kan orsaka körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i funktionen fflush. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-8611: Adrian Chadd och Alfred Perlstein på Norse Corporation
libpthread
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier
Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team
libxpc
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Många SSH-anslutningar kan orsaka att tjänster nekas i systemet
Beskrivning: launchd hade ingen begränsning för antalet processer som kunde startas av en nätverksanslutning. Problemet åtgärdades genom begränsning av antalet SSH-processer till 40.
CVE-ID
CVE-2015-5881: Apple
Inloggningsfönstret
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Skärmlåset kanske inte aktiveras efter en viss tidsperiod
Beskrivning: Ett problem förekom med inhämtad skärmlåsning. Problemet har åtgärdats genom förbättrad låshantering.
CVE-ID
CVE-2015-5833: Carlos Moreira, Rainer Dorau på rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera och Jon Hall på Asynchrony
lukemftpd
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En fjärrangripare kan neka åtkomst till FTP-servern
Beskrivning: Ett problem med glob-bearbetning förekom i tnftpd. Problemet åtgärdades genom förbättrad globvalidering.
CVE-ID
CVE-2015-5917: Maksymilian Arciemowicz på cxsecurity.com
Mail
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Utskrift av ett e-postmeddelanden kunde läcka känslig användarinformation
Beskrivning: Ett problem förekom i Mail som kringgår användarinställningarna vid utskrift av ett e-postmeddelande. Problemet åtgärdades genom förbättrad tvingad användning av användarinställningar.
CVE-ID
CVE-2015-5881: Owen DeLong på Akamai Technologies, Noritaka Kamiya, Dennis Klein på Eschenburg, Tyskland, Jeff Hammett på Systim Technology Partners
Mail
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En angripare på en privilegierad nätverksposition kunde påverka bilagor i S/MIME-krypterad e-post skickad via Mail Drop
Beskrivning: Ett problem förekom i hantering av krypteringsparametrar för stora e-postbilagor skickade via Mail Drop. Problemet åtgärdades genom att inte längre erbjuda Mail Drop vid sändning av krypterad e-post.
CVE-ID
CVE-2015-5884: John McCombs på Integrated Mapping Ltd
Multipeer Connectivity
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal angripare kan observera oskyddade multipeer-data
Beskrivning: Det förekom ett problem med hanteringen av bekvämlighetsinitieraren som ledde till att krypteringen aktivt kunde nedgraderas till en icke-krypterad session. Problemet hanterades genom att ändra bekvämlighetsinitieraren till att kräva kryptering.
CVE-ID
CVE-2015-5851: Alban Diquet (@nabla_c0d3) på Data Theorem
NetworkExtension
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett oinitierat minnesproblem i en kernel ledde till att kärnminnesinnehållet avslöjades. Problemet åtgärdades genom förbättrad minnesinitiering.
CVE-ID
CVE-2015-5831: Maxime Villard på m00nbsd
Anteckningar
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan läcka känslig användarinformation
Beskrivning: Ett problem förekom i tolkning av länkar i Anteckningar. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5878: Craig Young på Tripwire VERT, en anonym forskare
Anteckningar
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan läcka känslig användarinformation
Beskrivning: Ett problem med skriptkörning över flera platser förekom i tolkning av text av Anteckningar. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5875: xisigr på Tencent's Xuanwu LAB (www.tencent.com)
OpenSSH
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i OpenSSH
Beskrivning: Flera sårbarheter förekom i OpenSSH-versioner äldre än 6.9. De hanterades genom att OpenSSH uppdaterades till version 6.9.
CVE-ID
CVE-2014-2532
OpenSSL
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i OpenSSL
Beskrivning: Det fanns flera sårbarheter i OpenSSL-versioner äldre än 0.9.8zg. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i procmail
Beskrivning: Flera sårbarheter förekom i procmail-versioner före 3.22. Problemen åtgärdades genom borttagning av procmail.
CVE-ID
CVE-2014-3618
remote_cmds
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med rotprivilegier
Beskrivning: Ett problem förekom i användningen av miljövariabler av rsh-binären. Problemet åtgärdades genom att setuid-behörigheterna togs bort från rsh-binären.
CVE-ID
CVE-2015-5889: Philip Pettersson
removefile
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Behandling av skadliga data kan leda till oväntat programavslut
Beskrivning: Det förekom ett spillfel i rutinerna för checkint division. Problemet hanterades genom förbättrade rutiner för divisioner.
CVE-ID
CVE-2015-5840: en anonym person
Ruby
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i Ruby
Beskrivning: Flera sårbarheter förekom i Ruby-versioner före 2.0.0p645. Dessa problem åtgärdades genom att Ruby uppdaterades till 2.0.0p645.
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Säkerhet
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Låsläget för nyckelringen kunde visas felaktigt för användaren
Beskrivning: Ett lägeshanteringsproblem förekom i det sätt som nyckelringens låsstatus spårades. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-5915: Peter Walz på University of Minnesota, David Ephron, Eric E. Lawrence, Apple
Säkerhet
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En tillförlitlighetsutvärdering konfigurerad att kräva återkallelsekontroll kunde lyckas även om återkallelsekontrollen misslyckades
Beskrivning: Flaggan kSecRevocationRequirePositiveResponse angavs men implementerades inte. Problemet åtgärdades genom att flaggan implementerades.
CVE-ID
CVE-2015-5894: Hannes Oud på kWallet GmbH
Säkerhet
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En fjärrserver kunde be om ett certifikat innan den identifierade sig
Beskrivning: Secure Transport accepterade CertificateRequest-meddelandet före ServerKeyExchange-meddelandet. Problemet åtgärdades genom att kräva ServerKeyExchange först.
CVE-ID
CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti och Jean Karim Zinzindohoue på INRIA Paris-Rocquencourt, och Cedric Fournet och Markulf Kohlweiss på Microsoft Research, Pierre-Yves Strub på IMDEA Software Institute
SMB
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier
Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5891: Ilja van Sprundel på IOActive
SMB
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett fel förekom i SMBClient som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5893: Ilja van Sprundel på IOActive
SQLite
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Flera sårbarheter i SQLite 3.8.5
Beskrivning: Det förekom flera sårbarheter i SQLite 3.8.5. De åtgärdades genom att uppdatera SQLite till 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telefoni
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal angripare kunde ringa telefonsamtal utan användarens vetskap vid användning av Synkad
Beskrivning: Ett problem förekom i auktorisationskontrollerna för att ringa telefonsamtal. Problemet åtgärdades genom förbättrade auktorisationskontroller.
CVE-ID
CVE-2015-3785: Dan Bastone på Gotham Digital Science
Terminal
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Skadligt utformad text kunde lura användaren i Terminal
Beskrivning: Terminal hanterade inte dubbelriktade ersättningstecken på samma sätt vid visning av text och vid markering av text. Problemet åtgärdades genom undertryckande av dubbelriktade åsidosättningstecken i Terminal.
CVE-ID
CVE-2015-5883: Lukas Schauer (@lukas2511)
tidy
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i tidy. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5522: Fernando Muñoz på NULLGroup.com
CVE-2015-5523: Fernando Muñoz på NULLGroup.com
Time Machine
Tillgängligt för: Mac OS X 10.6.8 och senare
Effekt: En lokal angripare kunde få tillgång till nyckelringsobjekt
Beskrivning: Ett problem förekom i säkerhetskopior av Time Machine-ramverket. Problemet åtgärdades genom förbättrad täckning av Time Machine-säkerhetskopior.
CVE-ID
CVE-2015-5854: Jonas Magazinius på Assured AB
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.