Om säkerhetsinnehållet i OS X Yosemite 10.10.2 och säkerhetsuppdatering 2015-001

Det här dokumentet beskriver säkerhetsinnehållet i OS X Yosemite 10.10.2 och säkerhetsuppdatering 2015-001

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns på Säkerhetsuppdateringar från Apple.

OS X Yosemite 10.10.2 och säkerhetsuppdatering 2015-001

  • AFP-server

    Tillgänglig för: OS X Mavericks 10.9.5

    Effekt: En fjärrangripare kan bestämma alla nätverksadresser i systemet

    Beskrivning: AFP-filservern hade stöd för ett kommando som returnerade alla nätverksadresser i systemet. Problemet åtgärdades genom att adresserna togs bort från resultatet.

    CVE-ID

    CVE-2014-4426: Craig Young på Tripwire VERT

  • bash

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Flera sårbarheter i bash, inklusive en som kan tillåta lokala angripare att köra opålitlig kod

    Beskrivning: Flera sårbarheter förekom i bash. Dessa problem hanterades genom att uppdatera bash till patchnivå 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med signedness i heltal förekom i IOBluetoothFamily vilket tillät manipulering av kernelminnet. Problemet har åtgärdats genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Yosemite-system.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett fel förekom i Bluetooth-drivrutinen som tillät ett skadligt program att styra storleken på ett minne för att skriva till kernel. Det här problemet har åtgärdats genom förbättrad indataverifiering.

    CVE-ID

    CVE-2014-8836: Ian Beer från Google Project Zero

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Flera säkerhetsproblem förekom i Bluetooth-drivrutinen, vilket tillät ett skadligt program att köra opålitlig kod med systembehörighet. Dessa problem har åtgärdats genom förbättrad indataverifiering.

    CVE-ID

    CVE-2014-8837 : Roberto Paleari och Aristide Fattori från Emaze Networks

  • CFNetwork Cache

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Webbplatscacher kanske inte rensas helt efter att användaren lämnar Privat surfning

    Beskrivning: Ett integritetsproblem förekom som kunde leda till att surfdata fanns kvar i cachen efter att användaren lämnade Privat surfning. Problemet åtgärdades genom en förändring av cachningsbeteendet.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano från Binamuse VRT i samarbete med iSIGHT Partners GVP Program

  • CPU-programvara

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1, för: MacBook Pro Retina, MacBook Air (mitten 2013 och senare), iMac (sent 2013 och senare), Mac Pro (sent 2013)

    Effekt: En skadlig Thunderbolt-enhet kan påverka den fasta programvaran

    Beskrivning: Thunderbolt-enheter kunde ändra den värdbaserade fasta programvaran om den var ansluten under en EFI-uppdatering. Problemet har åtgärdats genom att inte läsa in alternativa ROM under uppdatering.

    CVE-ID

    CVE-2014-4498 : Trammell Hudson från Two Sigma Investments

  • CommerceKit-ramverk

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: En angripare med åtkomst till ett system kan återskapa Apple-ID-uppgifter

    Beskrivning: Ett problem förekom i hanteringen av App Store-loggar. App Store-processen kunde logga Apple-ID-uppgifter när ytterligare loggning var aktiverat. Det här problemet har åtgärdats genom att loggning av uppgifter inte tillåts.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Vissa program från tredje part med osäkra textposter och mushändelser kan logga dessa händelser

    Beskrivning: På grund av en kombination av en oinitierad variabel och ett programs allokerare kan osäkra textposter och mushändelser ha loggats. Det här problemet har åtgärdats genom att säkerställa att loggning är avstängt som standard. Detta problem påverkade inte system före OS X Yosemite.

    CVE-ID

    CVE-2014-1595 : Steven Michaud från Mozilla i samarbete med Kent Howard

  • CoreGraphics

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i hantering av PDF-filer. Det här problemet har åtgärdats genom förbättrad gränskontroll. Det här problemet påverkar inte OS X Yosemite-system.

    CVE-ID

    CVE-2014-8816 : Mike Myers från Digital Operatives LLC

  • CoreSymbolication

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Flera problem med typförväxling i coresymbolicationds hantering av XPC-meddelanden. Dessa problem har åtgärdats genom förbättrad typkontroll.

    CVE-ID

    CVE-2014-8817: Ian Beer från Google Project Zero

  • FontParser

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Bearbetning av en uppsåtligt skapad .dfont-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i hantering av .dfont-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4484 : Gaurav Baruah i samarbete med HP:s Zero Day Initiative

  • FontParser

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Öppning av en skadlig PDF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Buffertspill förekom vid hanteringen av fontfiler. Problemet har åtgärdats genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4483: Apple

  • Grund

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Visning av en uppsåtligt skapad XML-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom i XML-parsern. Problemet har åtgärdats genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel Graphics-drivrutin

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Flera sårbarheter i Intel Graphics-drivrutinen

    Beskrivning: Flera sårbarheter förekom i Intel Graphics-drivrutinen. Det allvarligaste kunde leda till att opålitlig kod kördes med systembehörighet. Denna uppdatering åtgärdar problemen genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-8819: Ian Beer från Google Project Zero

    CVE-2014-8820: Ian Beer från Google Project Zero

    CVE-2014-8821: Ian Beer från Google Project Zero

  • IOAcceleratorFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom i IOAcceleratorFamilys hantering av vissa IOServices användarklienttyper. Problemet har åtgärdats genom förbättrad validering av IOAcceleratorFamily-kontexter.

    CVE-ID

    CVE-2014-4486: Ian Beer från Google Project Zero

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett buffertspill förekom i IOHIDFamily. Problemet har åtgärdats genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4487 : TaiG Jailbreak Team

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett valideringsproblem förekom i hanteringen av metadata om resurskön i IOHIDFamily. Problemet har åtgärdats genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: En nollpekarreferens förekom i hanteringen av händelseköer i IOHIDFamily. Problemet har åtgärdats genom förbättrad validering av händelseköinitiering för IOHIDFamily.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Körning av ett skadligt program kan leda till att opålitlig kod körs i kernel

    Beskrivning: Ett gränskontrollfel förekom i en användarklient i IOHIDFamily-drivrutinen, vilket tillät ett skadligt program att skriva över opålitliga delar av adressutrymmet i kernel. Problemet har åtgärdats genom att ta bort den skadliga användarklientmetoden.

    CVE-ID

    CVE-2014-8822 : Vitaliy Toropov i samarbete med HP:s Zero Day Initiative

  • IOKit

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2014-4389: Ian Beer på Google Project Zero

  • IOUSBFamily

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett privilegierat program kan läsa opålitliga data från kernelminnet

    Beskrivning: Ett minnesåtkomstproblem förekom i hanteringen av användarklientfunktioner för IOUSB-styrenheten. Problemet har åtgärdats genom förbättrad argumentvalidering.

    CVE-ID

    CVE-2014-8823: Ian Beer från Google Project Zero

  • Kerberos

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Kerberos libgssapi-biblioteket returnerade en kontexttoken med en verkningslös pekare. Problemet har åtgärdats med förbättrad statushantering.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: När ett anpassat cacheläge angavs gick det att skriva på skrivskyddade delade segment i kernelminnet. Problemet har åtgärdats genom att inte ge skrivbehörighet som en bieffekt av vissa anpassade cachelägen.

    CVE-ID

    CVE-2014-4495: Ian Beer från Google Project Zero

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • Kernel

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: En lokal angripare kan förfalska svar från katalogtjänsten till kernel, öka privilegier eller köra kernel

    Beskrivning: Problem förekom i identitysvc-valideringen av katalogtjänstens lösningsprocess, flagghantering samt felhantering. Problemet har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2014-8825 : Alex Radocea från CrowdStrike

  • Kernel

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: En lokal användare kan ta reda på layouten för kernelminnet

    Beskrivning: Flera oinitierade minnesproblem förekom i gränssnittet för nätverksstatistik, vilket ledde till avslöjande av kernelminnesinnehåll. Problemet åtgärdades genom ytterligare minnesinitiering.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna från Google Security Team

    CVE-2014-4419: Fermin J. Serna från Google Security Team

    CVE-2014-4420: Fermin J. Serna från Google Security Team

    CVE-2014-4421: Fermin J. Serna från Google Security Team

  • Kernel

    Tillgänglig för: OS X Mavericks 10.9.5

    Effekt: En person med en privilegierad nätverksposition kan orsaka att begärda tjänster nekas

    Beskrivning: Ett race-tillståndsproblem förekom i hanteringen av IPv6-paket. Problemet har åtgärdats genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Uppsåtligt skapade eller infiltrerade program kan bestämma adresser i kernel

    Beskrivning: Ett problem med informationsdelning förekom i hanteringen av API:er relaterade till kerneltillägg. Svar innehållande nyckeln OSBundleMachOHeaders kan ha inkluderat kerneladresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Det här problemet åtgärdades genom att adresserna togs bort innan de returnerades.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett valideringsproblem förekom i hanteringen av vissa metadatafält i IOSharedDataQueue-objekt. Det här problemet åtgärdades genom att metadata flyttades.

    CVE-ID

    CVE-2014-4461 : @PanguTeam

  • LaunchServices

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En skadlig JAR-fil kan komma förbi Gatekeeper -kontroller

    Beskrivning: Ett problem förekom med hanteringen av programstart vilket ledde till att vissa skadliga JAR-filer kunde komma förbi Gatekeeper-kontroller. Problemet har åtgärdats genom förbättrad hantering av metadata för filtyp.

    CVE-ID

    CVE-2014-8826 : Hernan Ochoa från Amplia Security

  • libnetcore

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En skadlig app i sandlådeläge kan förstöra nätverksdemonen

    Beskrivning: Flera problem med typförväxling förekom i nätverkshanteringen av kommunikationen mellan processer. Genom att skicka nätverket ett skadligt formaterat meddelande kunde det vara möjligt att köra opålitlig kod som nätverksprocess. Problemet åtgärdades genom utökad typkontroll.

    CVE-ID

    CVE-2014-4492: Ian Beer från Google Project Zero

  • Inloggningsfönster

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En Mac kanske inte låstes omedelbart efter väckning

    Beskrivning: Ett problem förekom med att rendera låsskärmen. Problemet har åtgärdats genom förbättrad skärmrendering i låst läge.

    CVE-ID

    CVE-2014-8827 : Xavier Bertels från Mono samt flera OS X-testare

  • lukemftp

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Vid användning av kommandoraden ftp tool för att hämta filer från en skadlig http-server kunde opålitlig kod köras

    Beskrivning: Ett problem med kommandoinmatning förekom i hanteringen av HTTP-omdirigeringar. Problemet har åtgärdats genom förbättrad validering av särskilda tecken.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Användning av ntp-demonen med kryptografisk autentisering aktiverat kunde leda till informationsläckor

    Beskrivning: Flera problem med inmatningsvalidering förekom i ntpd. Dessa problem har åtgärdats genom förbättrad datavalidering.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Flera sårbarheter i OpenSSL 0.9.8za, bland annat en som kunde låta en angripare nedgradera anslutningarna till att använda svagare chifferpaket i program med hjälp av biblioteket

    Beskrivning: Flera sårbarheter förekom i OpenSSL 0.9.8za. Dessa problem har åtgärdats genom att OpenSSL uppgraderades till version 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandlåda

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

    Beskrivning: Ett designproblem förekom i cachandet av sandlådeprofiler, vilket gjorde att program i sandlådeläge kunde få skrivbehörighet till cacheminnet. Problemet har åtgärdats genom att begränsa skrivbehörigheten till sökvägar som innehåller ett segment med "com.apple.sandbox". Detta problem påverkar inte OS X Yosemite 10.10 eller senare.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: Ett skadligt program kunde köra opålitlig kod, vilket ledde till att användarinformation skadades

    Beskrivning: Flera skrivproblem utanför gränserna förekom i SceneKit. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-8829 : Jose Duart från Google Security Team

  • SceneKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Visning av en uppsåtligt skapad Collada-fil kan leda till oväntad programavslutning eller att opålitlig kod körs

    Beskrivning: Stort buffertspill förekom vid hanteringen av Collada-filer i SceneKit. Hämtning av en uppsåtligt skadlig Collada-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs. Problemet har åtgärdats genom förbättrad validering av accessorelement.

    CVE-ID

    CVE-2014-8830: Jose Duart från Google Security Team

  • Säkerhet

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett hämtat program som signerats med ett återkallat certifikat för utvecklar-ID kan komma förbi Gatekeeper-kontroller

    Beskrivning: Ett problem förekom med hur cachad information om programcertifikat utvärderades. Problemet har åtgärdats med förbättringar av cachelogiken.

    CVE-ID

    CVE-2014-8838: Apple

  • security_taskgate

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En app kan komma åt nyckelringsobjekt som hör till andra appar

    Beskrivning: Ett problem med åtkomstkontroll fanns i Nyckelring. Program som signerats med självsignering eller certifikat för utvecklar-ID kunde komma åt nyckelringsobjekt vars åtkomstkontrollista baserades på nyckelringsgrupper. Problemet har åtgärdats genom validering av den signerande identiteten när åtkomst ges till nyckelringsgrupper.

    CVE-ID

    CVE-2014-8831: Apple

  • Spotlight

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Den som skickade e-post kunde avgöra mottagarens IP-adress

    Beskrivning: Spotlight kontrollerade inte status för inställningarna för Läs in fjärrinnehåll i brev i Mail. Problemet har åtgärdats med förbättrad kontroll av konfiguration.

    CVE-ID

    CVE-2014-8839 : John Whitehead från The New York Times, Frode Moe från LastFriday.no

  • Spotlight

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Spotlight kan spara oväntad information på en extern hårddisk

    Beskrivning: Ett problem förekom i Spotlight, vilket ledde till att minnesinnehåll kan ha skrivits till externa hårddiskar vid indexering. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Spotlight kan visa resultat för filer som inte tillhör användaren

    Beskrivning: Ett deserialiseringsproblem förekom i Spotlights hantering av behörighetscache. En användare som gör en Spotlight-sökning kan ha fått se sökresultat för filer som de inte har läsbehörighet för. Problemet har åtgärdats genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-8833 : David J Peacock, oberoende teknikkonsult

  • sysmond

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med rotprivilegier

    Beskrivning: En sårbarhet med typförväxling förekom i sysmond som tillät ett lokalt program att eskalera privilegier. Problemet har åtgärdats genom förbättrad typkontroll.

    CVE-ID

    CVE-2014-8835: Ian Beer från Google Project Zero

  • UserAccountUpdater

    Tillgänglig för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Utskriftsrelaterade egenskapsfiler kan innehålla känslig information om PDF-dokument

    Beskrivning: OS X Yosemite 10.10 har åtgärdat ett problem med hanteringen av lösenordsskyddade PDF-filer som skapas från dialogrutan för utskrift, och där lösenord kan ha inkluderats i egenskapsfilerna för utskriften. Uppdateringen tar bort sådan extrainformation som kan ha förekommit i egenskapsfilerna för utskrift.

    CVE-ID

    CVE-2014-8834: Apple

Obs! OS X Yosemite 10.10.2 innehåller säkerhetsinnehållet i Safari 8.0.3.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: