Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen Apple produktsäkerhet.
Information om PGP-nyckeln från Apple Product Security finns i Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Mer information om andra säkerhetsuppdateringar finns i Säkerhetsuppdateringar från Apple.
OS X Yosemite 10.10.3 och säkerhetsuppdatering 2015-004
Admin Framework
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En process kunde få administratörsbehörigheter utan korrekt autentisering
Beskrivning: Ett problem förekom vid kontroll av XPC-behörigheter. Problemet har åtgärdats genom förbättrad behörighetskontroll.
CVE-ID
CVE-2015-1130: Emil Kvarnhammar på TrueSec
- apache
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Problem: Flera sårbarheter i Apache
Beskrivning: Flera sårbarheter förekom i Apache-versioner innan 2.4.10 och 2.2.29, bland annat en sårbarhet som kunde tillåta en fjärrangripare att köra opålitlig kod. Dessa problem åtgärdades genom uppdatering till Apache version 2.4.10 och 2.2.29
CVE-ID
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Flera problem med inmatningsvalidering förekom i fontd. Dessa problem har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-1131: Ian Beer på Google Project Zero
CVE-2015-1132: Ian Beer på Google Project Zero
CVE-2015-1133: Ian Beer på Google Project Zero
CVE-2015-1134: Ian Beer på Google Project Zero
CVE-2015-1135: Ian Beer på Google Project Zero
Certifierad förtroendepolicy
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Visa den fullständiga listan över certifikat.
CFNetwork HTTPProtocol
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: Kakor från ett ursprung kunde eventuellt skickas till ett annat ursprung
Beskrivning: Ett problem med kakor över flera domäner förekom i omdirigeringshanteringen. Kakor som angetts i ett omdirigeringssvar kunde skickas vidare till ett omdirigeringssvar som tillhörde ett annat ursprung. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.
CVE-ID
CVE-2015-1089: Niklas Keller (http://kelunik.com)
CFNetwork Session
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: Autentiseringsuppgifter kan eventuellt skickas till en server på ett annat ursprung
Beskrivning: Ett problem med huvuden i HTTP-begäran över flera domäner förekom i omdirigeringshanteringen. Huvuden i HTTP-begäran skickade i ett omdirigeringssvar kunde skickas vidare till ett annat ursprung. Problemet åtgärdades genom förbättrad hantering av omdirigeringar.
CVE-ID
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett problem med indatavalidering förekom i URL-bearbetningen. Problemet har åtgärdats genom förbättrad URL-validering.
CVE-ID
CVE-2015-1088: Luigi Galli
CoreAnimation
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Ett problem med användningen av tidigare använt minne förekom i CoreAnimation. Det här problemet åtgärdades genom förbättrad mutexhantering.
CVE-ID
CVE-2015-1136: Apple
FontParser
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till opålitlig kodexekvering.
Beskrivning: Flera minnesfel förekom i bearbetningen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Grafikdrivrutin
Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.2
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: En NULL-pekarreferens förekom i NVIDIA-grafikdrivrutinens hantering av vissa IOServices användarklienttyper. Problemet har åtgärdats genom ytterligare kontextvalidering.
CVE-ID
CVE-2015-1137: Frank Graziano och John Villamil på Yahoo Pentest Team
Hypervisor
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: Ett lokalt program kan orsaka att tjänster nekas
Beskrivning: Ett indatavalideringsproblem förekom i hypervisor-ramverket. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-1138: Izik Eidus och Alex Fishman
ImageIO
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Bearbetning av en felaktigt utformad .sgi-fil kan leda till körning av opålitlig kod.
Beskrivning: Ett minnesfel förekom i hantering av .sgi-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1139: Apple
IOHIDFamily
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En skadlig HID-enhet kan orsaka körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i ett IOHIDFamily-API. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1095: Andrew Church
IOHIDFamily
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett buffertspillproblem förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1140: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative, Luca Todesco, Vitaliy Toropov i samarbete med HP:s Zero Day Initiative (ZDI)
IOHIDFamily
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En lokal användare kan ta reda på schemat för kärnminnet
Beskrivning: Ett fel förekom i IOHIDFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1096: Ilja van Sprundel på IOActive
IOHIDFamily
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett heap-buffertspill förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2014-4404: Ian Beer på Google Project Zero
IOHIDFamily
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: En nollpekarreferens förekom i hanteringen av egenskaper för nyckelmappning i IOHIDFamily. Problemet åtgärdades genom förbättrad validering av egenskaperna för nyckelmappning i IOHIDFamily.
CVE-ID
CVE-2014-4405: Ian Beer på Google Project Zero
IOHIDFamily
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Effekt: Det kan hända att en användare kan köra opålitlig kod med systembehörighet
Beskrivning: Skrivåtkomst utanför minnesgränserna förekom i drivrutinen IOHIDFamily. Det här problemet åtgärdades genom förbättrad indataverifiering.
CVE-ID
CVE-2014-4380: cunzhang från Adlab of Venustech
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En lokal användare kan orsaka oväntad avstängning av datorn
Beskrivning: Ett problem förekom i hanteringen av virtuella minnesfunktioner i kärnan. Problemet åtgärdades genom förbättrad hantering av mach_vm_read-åtgärden.
CVE-ID
CVE-2015-1141: Ole Andre Vadla Ravnas på www.frida.re
Kärna
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Ett race-tillstånd förekom i kärnans setreuid-systemanrop. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1099: Mark Mentovai på Google Inc.
Kärna
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Ett lokalt program kan eskalera behörigheter med en komprometterad tjänst avsedd att köras med begränsad behörighet
Beskrivning: setreuid- och setregid-systemanropen kunde inte släppa behörigheter permanent. Det här problemet korrigerades genom att behörigheterna släpptes korrekt.
CVE-ID
CVE-2015-1117: Mark Mentovai på Google Inc.
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En angripare med en privilegierad nätverksposition kan dirigera om användartrafik till godtyckliga värdar
Beskrivning: ICMP-omdirigeringar var aktiverade som standard i OS X. Problemet åtgärdades genom avaktivering av ICMP-omdirigeringar.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänsten avbryts
Beskrivning: En lägesinkonsekvens förekom i bearbetningen av TCP-rubriker. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1102: Andrey Khudyakov och Maxim Zhuravlev på Kaspersky Lab
Kärna
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: Ett out of bounds-minnesåtkomstproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1100: Maxime Villard på m00nbsd
Kärna
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: En fjärrangripare kan komma förbi nätverksfilter
Beskrivning: Systemet behandlade vissa IPv6-paket från fjärranslutna nätverksgränssnitt som lokala paket. Problemet åtgärdades genom att dessa paket avvisades.
CVE-ID
CVE-2015-1104: Stephen Roettger på Google Security Team
Kärna
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernel-privilegier
Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1101: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En fjärrangripare kan orsaka att tjänsten avbryts
Beskrivning: Ett lägesinkonsekvensproblem förekom i hanteringen av TCP out of band-data. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1105: Kenton Varda på Sandstorm.io
LaunchServices
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En lokal användare kan orsaka att Finder kraschar
Beskrivning: Ett indatavalideringproblem förekom i LaunchServices hantering av programlokaliseringsdata. Problemet åtgärdades genom förbättrad validering av lokaliseringsdata.
CVE-ID
CVE-2015-1142
LaunchServices
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Det fanns ett problem med sammanblandning av typer i LaunchServices hantering av lokaliserade strängar. Problemet åtgärdades genom utökad gränskontroll.
CVE-ID
CVE-2015-1143: Apple
libnetcore
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: Bearbetning av en skadligt utformad konfigurationsprofil kan leda till att program avslutas oväntat
Beskrivning: Ett minnesfel förekom i hanteringen av konfigurationsprofiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang och Tao Wei på FireEye, Inc.
ntp
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En fjärrangripare kan knäcka ntpd-autentiseringsnycklar med brute force
Beskrivning: Funktionen config_auth i ntpd genererade en svag nyckel om ingen autentiseringsnyckel hade konfigurerats. Problemet åtgärdades med förbättrad nyckelgenerering.
CVE-ID
CVE-2014-9298
OpenLDAP
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: En icke autentiserad fjärrangripare kan orsaka att tjänsten nekas
Beskrivning: Flera problem med inmatningsvalidering förekom i OpenLDAP. Dessa problem har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Flera sårbarheter i OpenSSL
Beskrivning: Flera sårbarheter förekom i OpenSSL 0.9.8zc, bland annat en sårbarhet som kunde tillåta en angripare att fånga upp anslutningen till en server som stöder chiffer av exportgrad. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zd.
CVE-ID
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory Client
Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.2
Effekt: Ett lösenord kan skickas okrypterat över nätverket vid användning av Open Directory från OS X Server
Beskrivning: Om en Open Directory-klient var bunden till en OS X Server men inte installerat certifikaten för OS X Server och en användare på denna klient sedan ändrade sitt lösenord, skickades begäran om lösenordsändring över nätverket utan kryptering. Det här problemet åtgärdades genom att låta klienten kräva kryptering för det här fallet.
CVE-ID
CVE-2015-1147: Apple
PHP
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Flera sårbarheter i PHP
Beskrivning: Flera sårbarheter förekom i PHP-versioner innan 5.3.29, 5.4.38 och 5.5.20, bland annat en sårbarhet som kunde leda till körning av opålitlig kod. Den här uppdateringen åtgärdar problemen genom att uppdatera PHP till versionerna 5.3.29, 5.4.38 och 5.5.20.
CVE-ID
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
Överblick
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Öppning av en felaktigt utformad iWork-fil kan leda till körning av opålitlig kod.
Beskrivning: Ett minnesfel förekom i hantering av iWork-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1098: Christopher Hickstein
SceneKit
Tillgänglig för: OS X Mountain Lion 10.8.5
Effekt: Visning av en felaktigt utformad Collada-fil kan leda till körning av opålitlig kod.
Beskrivning: Stort buffertspill förekom vid hanteringen av Collada-filer i SceneKit. Visning av en felaktigt utformad Collada-fil kan leda till körning av opålitlig kod. Problemet har åtgärdats genom förbättrad validering av accessorelement.
CVE-ID
CVE-2014-8830: Jose Duart från Google Security Team
Skärmdelning
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: En användares lösenord kan loggas i en lokal fil
Beskrivning: I vissa fall kan Skärmdelning logga en användares lösenord som inte är läsbart för andra användare av systemet. Det här problemet har åtgärdats genom borttagning av inloggningsinformation.
CVE-ID
CVE-2015-1148: Apple
Säkerhet – Kodsignering
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Det går inte att förhindra att manipulerade program startas
Beskrivning: Program som innehåller speciellt utformade paket kunde starta utan en helt giltig signatur. Problemet åtgärdades genom utökade kontroller.
CVE-ID
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.2
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett buffertspill förekom i det sätt Uniform Type-identifierare hanterades. Problemet har åtgärdats genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1144: Apple
WebKit
Tillgänglig för: OS X Yosemite 10.10 till 10.10.2
Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till godtycklig kodkörning
Beskrivning: Det fanns ett problem med minnesskada i WebKit. Problemen åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1069: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
Säkerhetsuppdatering 2015-004 (tillgänglig för OS X Mountain Lion 10.8.5 och OS X Mavericks 10.9.5) åtgärdar också ett problem som orsakas av rättningen för CVE-2015-1067 i säkerhetsuppdatering 2015-002. Det här problemet förhindrade att Remote Apple Events-klienter i alla versioner anslöt till Remote Apple Events-servern. I standardkonfigurationer är Remote Apple Events inte aktiverat.
I OS X Yosemite 10.10.3 ingår säkerhetsinnehållet i Safari 8.0.5.