Om säkerhetsinnehållet i OS X Yosemite 10.10.4 och säkerhetsuppdatering 2015-005

Det här dokumentet beskriver säkerhetsinnehållet i OS X Yosemite 10.10.4 och säkerhetsuppdatering 2015-005.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

OS X Yosemite 10.10.4 och säkerhetsuppdatering 2015-005

  • Admin Framework

    Tillgängligt för: OS X Mavericks 10.9.5 och OS X Yosemite 10.10–10.10.3

    Effekt: En process kunde få administratörsbehörigheter utan korrekt autentisering

    Beskrivning: Ett problem förekom vid kontroll av XPC-behörigheter. Problemet åtgärdades genom förbättrad behörighetskontroll.

    CVE-ID

    CVE-2015-3671: Emil Kvarnhammar på TrueSec

  • Admin Framework

    Tillgängligt för: OS X Mavericks 10.9.5 och OS X Yosemite 10.10–10.10.3

    Effekt: En icke-administratör kunde få administratörsbehörighet

    Beskrivning: Ett problem existerade i hanteringen av användarautentisering. Problemet åtgärdades genom förbättrad felkontroll.

    CVE-ID

    CVE-2015-3672: Emil Kvarnhammar på TrueSec

  • Admin Framework

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En angripare kunde utnyttja Katalogverktyg för att tillskansa sig rotbehörighet

    Beskrivning: Katalogverktyg kunde flyttas och modifieras för att uppnå kodexekvering i en berättigad process. Problemet åtgärdades genom en begränsning av diskplatsen som writeconfig-klienter kan exekveras från.

    CVE-ID

    CVE-2015-3673: Patrick Wardle från Synack, Emil Kvarnhammar på TrueSec

  • afpserver

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller godtycklig kodkörning.

    Beskrivning: Ett minnesfel förekom på AFP-servern. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3674: Dean Jerkovich från NCC Group

  • apache

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En angripare kan få tillgång kataloger som är skyddade med HTTP-autentisering utan att ha rätt referenser

    Beskrivning: mod_hfs_apple fanns inte i standard-Apache-konfigurationen. Om Apache aktiverades manuellt och konfigurationen inte ändrades, kunde vissa filer som inte skulle varit tillgängliga bli tillgängliga med en speciellt utformad URL. Problemet åtgärdades genom att aktivera mod_hfs_apple.

    CVE-ID

    CVE-2015-3675: Apple

  • apache

    Tillgängligt för: OS X Mavericks 10.9.5 och OS X Yosemite 10.10–10.10.3

    Effekt: Det finns flera sårbarheter i PHP, av vilka den allvarligaste kan leda till att opålitlig kod körs

    Beskrivning: Flera sårbarheter fanns i PHP-versionerna tidigare än 5.5.24 och 5.4.40. Det åtgärdades genom att uppdatera PHP till version 5.5.24 och 5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem fanns i AppleGraphicsControl och kunde ha lett till avslöjande av schemat för kärnminnet. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3676: Chen Liang från KEEN Team

  • AppleFSCompression

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Det fanns ett fel i LZVN-komprimeringen som kunde ha lett till avslöjande av kärnminnesinnehåll. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3677: anonym forskare i samarbete med HP:s Zero Day Initiative

  • AppleThunderboltEDMService

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett problem med minneskorruptionsfel förekom i hanteringen av vissa Thunderbolt-kommandon i lokala processer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera problem med minneskorruptionsfel förekom i hanteringen av vissa typsnittsfiler. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3679: Pawel Wylecial i samarbete med HP:s Zero Day Initiative

    CVE-2015-3680: Pawel Wylecial i samarbete med HP:s Zero Day Initiative

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minneskorruptionsfel förekom i Bluetooth HCI-gränssnittet. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3683: Roberto Paleari och Aristide Fattori från Emaze Networks

  • Certifierad förtroendepolicy

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

    Beskrivning: Ett mellanliggande certifikat var felaktigt utfärdat av certifikatutfärdaren CCNIC. Problemet åtgärdades genom tillägg av en mekanism för att endast lita på en delmängd av de certifikat som utfärdats före det felaktigt utfärdade mellanliggande certifikatet. Läs mer om listan för säkerhet genom partiellt förtroende.

  • Certifierad förtroendepolicy

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. En fullständig lista med certifikat finns i OS X Trust Store.

  • CFNetwork HTTPAuthentication

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Att följa en URL med skadligt innehåll kan leda till körning av opålitlig kod

    Beskrivning: Det förekom ett minneskorruptionsfel i hanteringen av vissa URL-uppgifter. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Öppning av en skadlig textfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera minnesfel förekom i bearbetningen av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: coreTLS accepterade korta flyktiga Diffie-Hellman-nycklar (DH) som används i flyktiga DH-chiffersviter med exportstyrka. Problemet, även känt som Logjam, tillät en angripare med en privilegierad nätverksposition att nedgradera säkerheten till 512-bitars DH om servern hade stöd för en DH-chiffersvit med exportstyrka. Problemet åtgärdades genom att öka standardinställningen för minsta tillåtna minimumstorlek för flyktiga DH-nycklar till 768 bitar.

    CVE-ID

    CVE-2015-4000: Weakdh team på weakdh.org, Hanno Boeck

  • DiskImages

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3690: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • Display Drivers

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett problem förekom i kärntillägget Monitor Control Command Set som ledde till att en userland-process kunde kontrollera värdet av en funktionspekare i kärnan. Detta problem åtgärdades genom att ta bort det påverkade gränssnittet.

    CVE-ID

    CVE-2015-3691: Roberto Paleari och Aristide Fattori från Emaze Networks

  • EFI

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program med rotbehörigheter kan ändra EFI-flashminnet

    Beskrivning: Det förekom ett problem med otillräcklig låsning i EFI-flash vid start från viloläge. Problemet åtgärdades genom förbättrad låsning.

    CVE-ID

    CVE-2015-3692: Trammell Hudson på Two Sigma Investments, Xeno Kovah och Corey Kallenberg på LegbaCore LLC, Pedro Vilaça

  • EFI

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan framkalla ett minnesfel för att eskalera privilegier

    Beskrivning: Ett störningsfel, även känt som Rowhammer, förekom med viss DDR3 RAM och kunde leda till minnesfel. Problemet åtgärdades genom att öka minnesuppdateringsfrekvensen.

    CVE-ID

    CVE-2015-3693: Mark Seaborn och Thomas Dullien från Google, vars arbete baseras på forskning av Yoongu Kim med flera (2014)

  • FontParser

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Grafikdrivrutin

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Skrivåtkomst utanför minnesgränserna förekom i NVIDIA-grafikdrivrutinen. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3712: Ian Beer på Google Project Zero

  • Intel Graphics-drivrutin

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Flera problem med buffertspill förekom i Intel-grafikdrivrutinen, av vilka det allvarligaste kunde leda till att skadlig kod kördes med systembehörighet

    Beskrivning: Flera problem med buffertspill förekom i Intel-grafikdrivrutinen. Det åtgärdades genom utökad gränskontroll.

    CVE-ID

    CVE-2015-3695: Ian Beer på Google Project Zero

    CVE-2015-3696: Ian Beer på Google Project Zero

    CVE-2015-3697: Ian Beer på Google Project Zero

    CVE-2015-3698: Ian Beer på Google Project Zero

    CVE-2015-3699: Ian Beer på Google Project Zero

    CVE-2015-3700: Ian Beer på Google Project Zero

    CVE-2015-3701: Ian Beer på Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Flera sårbarheter förekom i libtiff, av vilka den allvarligaste kunde leda till att opålitlig kod kördes

    Beskrivning: Flera sårbarheter förekom i libtiff-versioner äldre än 4.0.4. Det åtgärdades genom att uppdatera libtiff till version 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Körning av en skadlig TIFF-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i bearbetningen av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3703: Apple

  • Äldre Install Framework

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Det förekom flera problem med hur Install.frameworks binära setuid ”runner” sänkte behörigheter. Problemet åtgärdades genom att sänka behörigheter korrekt.

    CVE-ID

    CVE-2015-3704: Ian Beer på Google Project Zero

  • IOAcceleratorFamily

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Flera minnesfel förekom i IOAcceleratorFamily. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett antal problem med null-pekarreferens förekom i FireWire-drivrutinen. Dessa problem löstes genom förbättrad felsökning.

    CVE-ID

    CVE-2015-3707: Roberto Paleari och Aristide Fattori från Emaze Networks
  • Kärna

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Det förekom fel med minneshanteringen vid hantering av API:n relaterade till kärntillägg vilka kunde leda till avslöjande av schemat för kärnminnet. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3720: Stefan Esser
  • Kärna

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem med minneshanteringen förekom i hanteringen av HFS-parametrar som kunde leda till avslöjande av schemat för kärnminnet. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3721: Ian Beer på Google Project Zero
  • kext tools

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan skriva över filer oförutsägbart

    Beskrivning: kextd följde symboliska länkar när en ny fil skapades. Problemet löstes genom förbättrad hantering av symboliska länkar.

    CVE-ID

    CVE-2015-3708: Ian Beer på Google Project Zero

  • kext tools

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En lokal användare kan läsa in osignerade kärntillägg

    Beskrivning: Ett TOCTOU (time-of-check time-of-use)-race-tillstånd förekom vid kontroll av sökvägar för kärntillägg. Problemet åtgärdades genom ökade kontroller som validerar kärntilläggets sökväg.

    CVE-ID

    CVE-2015-3709: Ian Beer på Google Project Zero

  • Mail

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt e-postmeddelande kan ersätta innehållet i meddelandet med en opålitlig webbsida när meddelandet visas

    Beskrivning: Ett problem förekom i stödet för HTML-e-post som tillät innehållet i meddelandet att uppdateras med en opålitlig webbsida. Problemet åtgärdades genom begränsat stöd för HTML-innehåll.

    CVE-ID

    CVE-2015-3710: Aaron Sigel från vtty.com, Jan Souček

  • ntfs

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Det förekom ett problem i NTFS som kunde leda till avslöjande av kärnminnesinnehåll. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3711: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • ntp

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: En angripare i en priviligierad position kan utföra en DDOS-attack mot två ntp-klienter

    Beskrivning: Det förekom flera fel i autentiseringen av ntp-paket som mottogs av konfigurerade slutpunkter. Problemet åtgärdades genom förbättrad tillståndshantering av anslutningar.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Flera problem förekom i OpenSSL, bland annat ett fel som tillät en angripare att fånga upp anslutningar till en server med stöd för chiffer av exportgrad

    Beskrivning: Flera problem förekom i OpenSSL 0.9.8zd som åtgärdades genom att uppdatera OpenSSL till 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Öppning av en skadlig filmfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Flera minnesfel förekom i QuickTime. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3661: G. Geshev i samarbete med HP:s Zero Day Initiative

    CVE-2015-3662: kdot i samarbete med HP:s Zero Day Initiative

    CVE-2015-3663: kdot i samarbete med HP:s Zero Day Initiative

    CVE-2015-3666: Steven Seeley från Source Incite i samarbete med HP:s Zero Day Initiative

    CVE-2015-3667: Ryan Pentney, Richard Johnson från Cisco Talos och Kai Lu från Fortinets FortiGuard Labs

    CVE-2015-3668: Kai Lu från Fortinets FortiGuard Labs

    CVE-2015-3713: Apple

  • Säkerhet

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett heltalsspill förekom i Security Framework-koden vid tolkning av S/MIME-e-post och andra signerade eller krypterade objekt. Problemet åtgärdades genom förbättrad valideringskontroll.

    CVE-ID

    CVE-2013-1741

  • Säkerhet

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Det går inte att förhindra att manipulerade program startas

    Beskrivning: Program som använder anpassade resursregler kan ha utsatts för manipulering som gjorde att signaturen inte blev ogiltig. Problemet har åtgärdats genom förbättrad resursvalidering.

    CVE-ID

    CVE-2015-3714: Joshua Pitts på Leviathan Security Group

  • Säkerhet

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt program kan ha kringgått kodsigneringskontroller

    Beskrivning: Ett problem förekom där kodsignering inte verifierade bibliotek laddade utanför programpaketet. Problemet har åtgärdats genom förbättrad paketvalidering.

    CVE-ID

    CVE-2015-3715: Patrick Wardle från Synack

  • Spotlight

    Tillgängligt för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10–10.10.3

    Effekt: Att söka efter filer med skadligt innehåll i Spotlight kan leda till kommandoinjektion

    Beskrivning: En sårbarhet för kommandoinjektion förekom vid hantering av filnamn för bilder tillagda i det lokala bildbiblioteket. Problemet åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett antal buffertspill förekom i SQLites printf-implementering. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3717: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • SQLite

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Ett skadligt SQL-kommando kan leda till oväntat programavslut eller körning av opålitlig kod

    Beskrivning: Det förekom ett API-problem i SQLite-funktionen. Det hanterades genom förbättrade begränsningar.

    CVE-ID

    CVE-2015-7036: Peter Rutenbar i samarbete med HP:s Zero Day Initiative

  • System Stats

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: En skadlig app kan utsätta systemstatsd för risk

    Beskrivning: En typ av sammanblandningsproblem förekom vid hantering av interprocesskommunikationen i systemstatsd. Genom att skicka ett skadligt meddelande till systemstatsd kan det ha varit möjligt att köra opålitlig kod som systemstatsd-processen. Problemet åtgärdades genom utökad typkontroll.

    CVE-ID

    CVE-2015-3718: Roberto Paleari och Aristide Fattori från Emaze Networks

  • TrueTypeScaler

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntad programavslutning eller exekvering av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Tillgängligt för: OS X Yosemite 10.10–10.10.3

    Effekt: Extrahering av skadliga ZIP-filer med hjälp av extraheringsverktyget kan leda till oväntat programavslut eller till att opålitlig kod körs

    Beskrivning: Flera minnesfel förekom i hanteringen av ZIP-filmfiler. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

I OS X Yosemite 10.10.4 ingår säkerhetsinnehållet i Safari 8.0.7.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: