Om säkerhetsinnehållet i OS X Yosemite 10.10.2 och säkerhetsuppdatering 2015-001

I det här dokumentet beskrivs säkerhetsinnehållet i OS X Yosemite 10.10.2 och säkerhetsuppdatering 2015-001

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.

OS X Yosemite 10.10.2 och säkerhetsuppdatering 2015-001

  • AFP Server

    Tillgängligt för: OS X Mavericks 10.9.5

    Effekt: En fjärrangripare kan fastställa alla nätverksadresser i systemet

    Beskrivning: AFP-filservern hade stöd för ett kommando som returnerade alla nätverksadresser i systemet. Problemet åtgärdades genom borttagning av adresserna från resultatet.

    CVE-ID

    CVE-2014-4426: Craig Young på Tripwire VERT

  • bash

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Flera sårbarheter i bash, bland annat en som kan göra det möjligt för lokala angripare att köra opålitlig kod

    Beskrivning: Flera sårbarheter förekom i bash. Dessa problem hanterades genom att uppdatera bash till patchnivå 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett heltalssigneringsfel förekom i IOBluetoothFamily, vilket möjliggjorde manipulering av kernelminnet. Problemet åtgärdades med förbättrad kontroll av gränserna. Detta problem påverkar inte system med OS X Yosemite.

    CVE-ID

    CVE-2014-4497

  • Bluetooth

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Det förekom ett fel i Bluetooth-drivenheten som gjorde det möjligt för ett skadligt program att styra storleken på en skrivning till kernelminnet. Problemet åtgärdades genom utökad indatavalidering.

    CVE-ID

    CVE-2014-8836: Ian Beer på Google Project Zero

  • Bluetooth

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Det förekom flera säkerhetsproblem i Bluetooth-drivrutinen, vilket gjorde det möjligt för ett skadligt program att köra opålitlig kod med systembehörigheter. Problemen åtgärdades genom utökad indatavalidering.

    CVE-ID

    CVE-2014-8837: Roberto Paleari och Aristide Fattori på Emaze Networks

  • CFNetwork Cache

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Webbplatsens cacheminne kanske inte rensas helt när privat surfning lämnas

    Beskrivning: Det förekom ett integritetsproblem med att surfdata kunde finnas kvar i cacheminnet efter att privat surfning lämnats. Det här problemet åtgärdades genom en ändring av cacheminnets beteende.

    CVE-ID

    CVE-2014-4460

  • CoreGraphics

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och v10.10.1

    Effekt: Öppnande av en PDF-fil med skadligt innehåll kan leda till att programmet oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom vid hantering av PDF-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4481: Felipe Andres Manzano på Binamuse VRT, via iSIGHT Partners GVP-programmet

  • CPU Software

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1, för: MacBook Pro Retina, MacBook Air (mitten av 2013 och senare), iMac (sent 2013 och senare), Mac Pro (sent 2013)

    Effekt: En skadlig Thunderbolt-enhet kan påverka den fasta programvaran

    Beskrivning: Thunderbolt-enheter kunde ändra den värdbaserade fasta programvaran om den anslöts under en EFI-uppdatering. Problemet åtgärdades genom att inte läsa in alternativa ROM under uppdatering.

    CVE-ID

    CVE-2014-4498: Trammell Hudson på Two Sigma Investments

  • CommerceKit Framework

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: En angripare med åtkomst till ett system kan återskapa Apple-ID‑uppgifter

    Beskrivning: Det förekom ett problem vid hanteringen av App Store-loggar. App Store-processen kunde logga Apple-ID-uppgifter när ytterligare loggning var aktiverat. Det här problemet har åtgärdats genom att loggning av uppgifter inte tillåts.

    CVE-ID

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Textinmatning och mushändelser som inte är säkra kan loggas i vissa program från tredje part

    Beskrivning: Textinmatning och mushändelser som inte är säkra kan ha loggats på grund av kombinationen av en oinitierad variabel och ett programs anpassade tilldelare. Problemet åtgärdades genom säkerställande av att loggning är avstängt som standard. Problemet berörde inte system före OS X Yosemite.

    CVE-ID

    CVE-2014-1595: Steven Michaud på Mozilla i samarbete med Kent Howard

  • CoreGraphics

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: Öppnande av en PDF-fil med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett problem med minneskorruption förekom vid hanteringen av PDF-filer. Det här problemet åtgärdades genom förbättrad gränskontroll. Detta problem påverkar inte system med OS X Yosemite.

    CVE-ID

    CVE-2014-8816: Mike Myers på Digital Operatives LLC

  • CoreSymbolication

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och v10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Flera problem med sammanblandning av typer förekom i coresymbolicationds hantering av XPC-meddelanden. Dessa problem åtgärdades genom förbättrad typkontroll.

    CVE-ID

    CVE-2014-8817: Ian Beer på Google Project Zero

  • FontParser

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och v10.10.1

    Effekt: Bearbetning av en skadlig .dfont-fil kan leda till ett oväntat programavslut eller körning av opålitlig kod

    Beskrivning: Ett problem med minneskorruption förekom vid hanteringen av .dfont-filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4484: Gaurav Baruah i samarbete med HP:s Zero Day Initiative

  • FontParser

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Öppnande av en PDF-fil med skadligt innehåll kan leda till att programmet oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom vid hantering av typsnittsfiler. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4483: Apple

  • Foundation

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Visning av en XML-fil med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett buffertspill förekom i XML-tolken. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2014-4485: Apple

  • Intel Graphics Driver

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Flera sårbarheter i Intel-grafikdrivrutinen

    Beskrivning: Flera sårbarheter förekom i Intel-grafikdrivrutinen, varav det allvarligaste kan ha lett till körning av opålitlig kod med systembehörigheter. I den här uppdateringen åtgärdas problemet genom utökad gränskontroll.

    CVE-ID

    CVE-2014-8819: Ian Beer på Google Project Zero

    CVE-2014-8820: Ian Beer på Google Project Zero

    CVE-2014-8821: Ian Beer på Google Project Zero

  • IOAcceleratorFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: En nullpekarreferens förekom i IOAcceleratorFamilys hantering av vissa IOService-användarklienttyper. Problemet åtgärdades genom förbättrad validering av IOAcceleratorFamily-kontexter.

    CVE-ID

    CVE-2014-4486: Ian Beer på Google Project Zero

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett buffertspill förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett valideringsproblem förekom i IOHIDFamilys hantering av metadata för resurskön. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-4488: Apple

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: En nullpekarreferens förekom i IOHIDFamilys hantering av händelseköer. Problemet åtgärdades genom förbättrad validering av IOHIDFamilys initiering av händelseköer.

    CVE-ID

    CVE-2014-4489: @beist

  • IOHIDFamily

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Körning av ett skadligt program kan leda till körning av opålitlig kod i en kernel

    Beskrivning: Ett problem med gränskontroll förekom i en användarklient som används i IOHIDFamily-drivenheten, vilket gjorde det möjligt för ett skadligt program att skriva över godtyckliga delar av kerneladressutrymmet. Problemet åtgärdades genom borttagning av den sårbara användarklientmetoden.

    CVE-ID

    CVE-2014-8822: Vitaliy Toropov i samarbete med HP:s Zero Day Initiative

  • IOKit

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet har åtgärdats genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2014-4389: Ian Beer på Google Project Zero

  • IOUSBFamily

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett behörigt program kan läsa godtyckliga data från kernelminnet

    Beskrivning: Ett problem med minnesåtkomst förekom vid hanteringen av IOUSB-styrenhetens användarklientfunktioner. Problemet åtgärdades genom förbättrad argumentvalidering.

    CVE-ID

    CVE-2014-8823: Ian Beer på Google Project Zero

  • Kerberos

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och v10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Kerberos libgssapi-bibliotek returnerade en kontexttoken med en hängande pekare. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2014-5352

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Angivande av ett anpassat cachelagringsläge gjorde det möjligt att skriva till skrivskyddade delade segment i kernelminnet. Problemet åtgärdades genom att skrivbehörigheter inte beviljas som bieffekt av vissa anpassade cachelagringslägen.

    CVE-ID

    CVE-2014-4495: Ian Beer på Google Project Zero

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett valideringsproblem förekom vid hanteringen av vissa metadatafält i IODataQueue-objekt. Problemet åtgärdades genom förbättrad validering av metadata.

    CVE-ID

    CVE-2014-8824: @PanguTeam

  • Kernel

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: En lokal angripare kan förfalska katalogtjänstsvar till en kernel, öka behörigheter eller beviljas kernelkörning

    Beskrivning: Problem förekom i identitysvc-valideringen av katalogtjänstens lösningsprocess, flagghantering och felhantering. Problemet har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2014-8825: Alex Radocea på CrowdStrike

  • Kernel

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: En lokal användare kan fastställa kernelminnets layout

    Beskrivning: Flera problem med oinitierat minne förekom i gränssnittet för nätverksstatistik, vilket ledde till avslöjande av kernelminnets innehåll. Problemet åtgärdades genom ytterligare minnesinitiering.

    CVE-ID

    CVE-2014-4371: Fermin J. Serna på Google Security Team

    CVE-2014-4419: Fermin J. Serna på Google Security Team

    CVE-2014-4420: Fermin J. Serna på Google Security Team

    CVE-2014-4421: Fermin J. Serna på Google Security Team

  • Kernel

    Tillgängligt för: OS X Mavericks 10.9.5

    Effekt: En person med en privilegierad nätverksposition kan orsaka att åtkomst till tjänsten nekas

    Beskrivning: Ett problem med konkurrenstillstånd förekom vid hanteringen av IPv6-paket. Problemet åtgärdades genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2011-2391

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Skadliga eller infiltrerade program kan fastställa adresser i en kernel

    Beskrivning: Ett problem med avslöjande av information förekom vid hanteringen av API:er relaterade till kerneltillägg. Svar innehållande en OSBundleMachOHeaders-nyckel kan ha omfattat kerneladresser, som kan bidra till att kringgå ASLR-skydd (address space layout randomization). Det här problemet åtgärdades genom att adresserna togs bort innan de returnerades.

    CVE-ID

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Kernel

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett valideringsproblem förekom vid hanteringen av vissa metadatafält i IOSharedDataQueue-objekt. Problemet åtgärdades genom flytt av dessa metadata.

    CVE-ID

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En skadlig JAR-fil kan kringgå Gatekeeper-kontroller

    Beskrivning: Det förekom ett problem vid hanteringen av program som startades, vilket gjorde det möjligt för vissa JAR-filer med skadligt innehåll att kringgå Gatekeeper-kontroller. Problemet löstes genom förbättrad hantering av metadata för filtyper.

    CVE-ID

    CVE-2014-8826: Hernan Ochoa på Amplia Security

  • libnetcore

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En skadlig app i sandlådeläge kan äventyra nätverksdemonen

    Beskrivning: Flera problem med sammanblandning av typer förekom i networkds hantering av kommunikation mellan processer. Genom att skicka ett skadligt meddelande till networkd kan det ha varit möjligt att köra opålitlig kod som networkd-processen. Problemet åtgärdades genom utökad typkontroll.

    CVE-ID

    CVE-2014-4492: Ian Beer på Google Project Zero

  • LoginWindow

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En Mac kanske inte låstes omedelbart efter väckning

    Beskrivning: Ett problem förekom vid rendering av låsskärmen. Problemet åtgärdades genom förbättrad skärmrendering vid låsning.

    CVE-ID

    CVE-2014-8827: Xavier Bertels på Mono och flera OS X-seedtester

  • lukemftp

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Användning av ftp-kommandoradsverktyget för att hämta filer från en skadlig http-server kan leda till körning av opålitlig kod

    Beskrivning: Ett problem med kommandoinmatning förekom vid hanteringen av HTTP-omdirigeringar. Problemet har åtgärdats genom förbättrad validering av särskilda tecken.

    CVE-ID

    CVE-2014-8517

  • ntpd

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och v10.10.1

    Effekt: Användning av ntp-demonen med kryptografisk autentisering aktiverat kan leda till informationsläckor

    Beskrivning: Flera problem med indatavalidering förekom i ntpd. Problemen åtgärdades genom förbättrad datavalidering.

    CVE-ID

    CVE-2014-9297

  • OpenSSL

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Flera sårbarheter i OpenSSL 0.9.8za, varav en som kan göra det möjligt för en angripare att nedgradera anslutningar till svagare chiffersviter i program där biblioteket används

    Beskrivning: Flera sårbarheter förekom i OpenSSL 0.9.8za. Dessa problem åtgärdades genom att OpenSSL uppgraderades till version 0.9.8zc.

    CVE-ID

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Sandbox

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

    Beskrivning: Ett designproblem förekom i cachelagringen av sandlådeprofiler, vilket gjorde det möjligt för program i sandlådeläge att få skrivåtkomst till cacheminnet. Det här problemet åtgärdades genom att skrivåtkomst begränsades till sökvägar som innehåller segmentet ”com.apple.sandbox”. Detta problem påverkar inte system med OS X Yosemite 10.10 eller senare.

    CVE-ID

    CVE-2014-8828: Apple

  • SceneKit

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Effekt: Ett skadligt program kan köra opålitlig kod, vilket kan leda till att användarinformation avslöjas

    Beskrivning: Flera problem med skrivåtkomst utanför minnesgränserna förekom i SceneKit. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-8829: Jose Duart på Google Security Team

  • SceneKit

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Visning av en Collada-fil med skadligt innehåll kan leda till att program oväntat avslutas eller att opålitlig kod körs

    Beskrivning: Ett heapbuffertspill förekom i SceneKits hantering av Collada-filer. Visning av en skadlig Collada-fil kan ha lett till oväntad programavslutning eller körning av opålitlig kod. Problemet åtgärdades genom förbättrad validering av accessorelement.

    CVE-ID

    CVE-2014-8830: Jose Duart på Google Security Team

  • Security

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett hämtat program som signerats med ett återkallat ID-certifikat för utvecklare kan godkännas i Gatekeeper-kontroller

    Beskrivning: Det förekom ett problem med hur cachelagrad certifikatinformation för program utvärderades. Problemet åtgärdades med förbättrad cachelogik.

    CVE-ID

    CVE-2014-8838: Apple

  • security_taskgate

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: En app kan få åtkomst till nyckelringsobjekt som tillhör andra appar

    Beskrivning: Ett problem med åtkomstkontroll förekom i nyckelringen. Program som signerats med självsignerade certifikat eller ID-certifikat för utvecklare kunde få åtkomst till nyckelringsobjekt vars åtkomstkontrollistor baserades på nyckelringsgrupper. Problemet åtgärdades genom att signeringsidentiteten valideras när åtkomst till nyckelringsgrupper beviljas.

    CVE-ID

    CVE-2014-8831: Apple

  • Spotlight

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett e-postmeddelandes avsändare kunde fastställa mottagarens IP-adress

    Beskrivning: Spotlight kontrollerade inte status för inställningen ”Läs in fjärrinnehåll i mejl” i Mail. Problemet åtgärdades genom förbättrad konfigurationskontroll.

    CVE-ID

    CVE-2014-8839: John Whitehead på The New York Times, Frode Moe på LastFriday.no

  • Spotlight

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Spotlight kan spara oväntad information till en extern hårddisk

    Beskrivning: Det förekom ett problem i Spotlight med att minnesinnehåll kan ha skrivits till externa hårddiskar vid indexering. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Spotlight kan visa resultat för filer som inte tillhör användaren

    Beskrivning: Ett deserialiseringsproblem förekom i Spotlights hantering av tillståndscachar. En användare som sökte med Spotlight kan ha fått se sökresultat som refererade till filer som användaren inte hade tillräcklig behörighet för att läsa. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2014-8833: David J Peacock, Independent Technology Consultant

  • sysmond

    Tillgängligt för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 och 10.10.1

    Effekt: Ett skadligt program kan köra opålitlig kod med rotbehörigheter

    Beskrivning: En sårbarhet med sammanblandning av typer förekom i sysmond, vilket gjorde det möjligt för ett lokalt program att eskalera behörigheter. Problemet åtgärdades med förbättrad typkontroll.

    CVE-ID

    CVE-2014-8835: Ian Beer på Google Project Zero

  • UserAccountUpdater

    Tillgängligt för: OS X Yosemite 10.10 och 10.10.1

    Effekt: Utskriftsrelaterade inställningsfiler kan innehålla känslig information om PDF-dokument

    Beskrivning: I OS X Yosemite 10.10 åtgärdades ett problem vid hanteringen av lösenordsskyddade PDF-filer som skapats från dialogrutan Skriv ut. Lösenord kan ha funnits med i filerna med utskriftsinställningar. Med den här uppdateringen tas sådan överflödig information som kan ha funnits i filerna med utskriftsinställningar bort.

    CVE-ID

    CVE-2014-8834: Apple

Obs! OS X Yosemite 10.10.2 innehåller säkerhetsinnehållet för Safari 8.0.3.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: