Om säkerhetsinnehållet i OS X Yosemite 10.10.5 och säkerhetsuppdatering 2015-006

Det här dokumentet beskriver säkerhetsinnehållet i OS X Yosemite 10.10.5 och säkerhetsuppdatering 2015-006.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

OS X Yosemite 10.10.5 och säkerhetsuppdatering 2015-006

  • apache

    Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter fanns i Apache 2.4.16, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service.

    Beskrivning: Flera sårbarheter fanns i Apache-versioner äldre än 2.4.16. De hanterades genom att uppdatera Apache till version 2.4.16.

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter förekom i PHP 5.5.20, där den allvarligaste kunde leda till att opålitlig kod kördes.

    Beskrivning: Flera sårbarheter fanns i PHP-versioner äldre än 5.5.20. De hanterades genom att Apache uppdaterades till version 5.5.27.

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple-ID OD plugin-program

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan ändra lösenordet för en lokal användare

    Beskrivning: Under vissa omständigheter fanns det ett problem med tillståndshantering vid lösenordsautentisering. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-3799: anonym forskare i samarbete med HP:s Zero Day Initiative

  • AppleGraphicsControl

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem fanns i AppleGraphicsControl och kunde ha lett till avslöjande av schemat för kärnminnet. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5768: JieTao Yang på KeenTeam

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i IOBluetoothHCIController. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3779: Teddy Reed från Facebook Security

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett minneshanteringsproblem kunde ha lett till att schemat för kärnminnet avslöjades. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3780: Roberto Paleari och Aristide Fattori från Emaze Networks

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En skadlig app kan eventuellt komma åt meddelanden från andra iCloud-enheter

    Beskrivning: Det fanns ett problem där en skadlig app kunde komma åt Notiscenter-meddelanden på en Bluetooth-parkopplad Mac- eller iOS-enhet via Apples Notiscenter-tjänst. Problemet gällde enheter som använde Handoff och loggade in på samma iCloud-konto. Problemet åtgärdades genom att åtkomsten till Apples Notiscenter-tjänst drogs in.

    CVE-ID

    CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En angripare med priviligerad nätverksposition kan utföra en denial of service-attack med felformaterade Bluetooth-paket

    Beskrivning: Ett indatavalideringsproblem existerade vid tolkning av Bluetooth ACL-paket. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3787: Trend Micro

  • Bluetooth

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En lokal angripare kunde orsaka oväntade programavslut eller körning av opålitlig kod.

    Beskrivning: Flera problem med buffertspill förekom i blueds hantering av XPC-meddelanden. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3777: mitp0sh på [PDX]

  • bootp

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att ett godtyckligt Wi-Fi-nätverk kan avgöra vilka nätverk en enhet har tidigare anslutit till

    Beskrivning: Vid anslutning till ett Wi-Fi-nätverk kan iOS ha skickat MAC-adresser för nätverk som tidigare anslutits till via DNAv4-protokollet. Problemet åtgärdades genom att DNAv4 inaktiveras på okrypterade Wi-Fi-nätverk.

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon på Oxford Internet Institute, University of Oxford (i EPSRC Being There-projektet)

  • CloudKit

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan eventuellt komma åt iClouds användarregister för en tidigare inloggad användare

    Beskrivning: Det fanns en lägesinkonsekvens i CloudKit när användare loggas ut. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-3782: Deepkanwal Plaha på University of Toronto

  • Uppspelning av CoreMedia

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod

    Beskrivning: Det fanns minneskorruptionsproblem vid uppspelning i CoreMedia. Dessa åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter fanns i cURL och libcurl före version 7.38.0, varav en kunde göra det möjligt för fjärrangripare att kringgå Same Origin Policy.

    Beskrivning: Flera sårbarheter fanns i cURL och libcurl före version 7.38.0. Problemen åtgärdades genom att cURL uppdaterades till version 7.43.0.

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • Data Detectors Engine

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Bearbetning av en sekvens av unicode-tecken kan orsaka oväntade programavslut eller att opålitlig kod körs

    Beskrivning: Det fanns minneskorruptionsproblem vid bearbetning av Unicode-tecken. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5750: M1x7e1 på Safeye Team (www.safeye.org)

  • Inställningsrutan för datum och tid

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Program som förlitar sig på systemets tidsangivelse kan bete sig oväntat

    Beskrivning: Det fanns ett auktoriseringsproblem när systemets datum och tid ändrades. Problemet åtgärdades genom utökade autentiseringskontroller.

    CVE-ID

    CVE-2015-3757: Mark S. C. Smith

  • Programmet Ordbok

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En angripare med en privilegierad nätverksposition kan få tillgång till användares sökningar i programmet Ordbok

    Beskrivning: Det fanns ett problem i programmet Ordbok som gjorde att användarnas kommunikation inte var säker. Problemet åtgärdades genom att flytta sökningar i Ordbok till HTTPS.

    CVE-ID

    CVE-2015-3774: Jeffrey Paul på EEQJ, Jan Bee på Google Security Team

  • DiskImages

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Bearbetning av en skadlig DMG-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs med systembehörighet

    Beskrivning: Det fanns ett minneskorruptionsproblem vid tolkning av felaktigt skapade DMG-bilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3800: Frank Graziano på Yahoo Pentest Team 

  • dyld

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med validering av sökvägar förekom i dyld. Problemet åtgärdades genom förbättrad sanering av miljön.

    CVE-ID

    CVE-2015-3760: beist of grayhash, Stefan Esser

  • FontParser

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: flera problem i pdfroff

    Beskrivning: Det fanns flera problem i pdfroff, där det allvarligaste kan orsaka att godtyckliga ändringar i filsystemet tillåts. Problemen åtgärdades genom att pdfroff togs bort.

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Ett minnesfel förekom i bearbetning av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av processminne

    Beskrivning: Det fanns ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av PNG- och TIFF-bilder. Besök på en webbsida med skadligt innehåll kan leda till att data skickas från processminnet till webbplatsen. Problemet åtgärdades genom bättre minneshantering och ytterligare validering av PNG- och TIFF-bilder.

    CVE-ID

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Äldre Install Framework

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra opålitlig kod med rotprivilegier

    Beskrivning: Det fanns ett fel i hur Install.frameworks binära ”runner” sänkte behörigheter. Problemet åtgärdades genom förbättrad behörighetshantering.

    CVE-ID

    CVE-2015-5784: Ian Beer på Google Project Zero

  • Äldre Install Framework

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Det fanns ett race-villkor i Install.frameworks binära ”runner” som orsakade att behörigheter sänktes felaktigt. Problemet åtgärdades genom förbättrad objektslåsning.

    CVE-ID

    CVE-2015-5754: Ian Beer på Google Project Zero

  • IOFireWireFamily

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Det fanns minneskorruptionsproblem i IOFireWireFamily. Dessa problem har åtgärdats genom ytterligare indatavalidering.

    CVE-ID

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i IOGraphics. Problemet har åtgärdats genom ytterligare indatavalidering.

    CVE-ID

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett buffertspillproblem förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5774: TaiG Jailbreak Team

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Det fanns ett problem i gränssnittet mach_port_space_info som kunde ha lett till att schemat för kärnminnet avslöjades. Problemet åtgärdades genom att gränssnittet mach_port_space_info inaktiverades.

    CVE-ID

    CVE-2015-3766: Cererdlong på Alibaba Mobile Security Team, @PanguTeam

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En lokal användare kan orsaka denial of service i systemet

    Beskrivning: Det fanns ett resursbegränsningsproblem i fasttrap-drivrutinen. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5747: Maxime VILLARD på m00nbsd

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En lokal användare kan orsaka denial of service i systemet

    Beskrivning: Det fanns ett valideringsproblem i monteringen av HFS-volymer. Problemet åtgärdades genom att utökade kontroller lades till.

    CVE-ID

    CVE-2015-5748: Maxime VILLARD på m00nbsd

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra osignerad kod

    Beskrivning: Det fanns ett problem som gjorde att osignerad kod kunde läggas till i signerad kod i en särskilt skapad körbar fil. Problemet åtgärdades genom förbättrad validering av kodsignatur.

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En speciellt utformad körbar fil kunde göra att osignerad, skadlig kod tilläts att köras

    Beskrivning: Det fanns ett problem med hur körbara filer med flera arkitekturer utvärderades som gjorde att osignerad kod kunde tillåtas att köras. Det här problemet åtgärdades med förbättrad validering av körbara filer.

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En lokal användare kan exekvera osignerad kod

    Beskrivning: Ett valideringsproblem förekom i hanteringen av Mach-O-filer. Problemet åtgärdades genom att utökade kontroller lades till.

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av en skadlig plist kan leda till oväntade programavslut eller körning av opålitlig kod med systembehörighet

    Beskrivning: Det fanns en minneskorruption i bearbetningen av felaktigt skapade plists. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3776: Teddy Reed på Facebook Security, Patrick Stein (@jollyjinx) på Jinx Germany

  • Kärna

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Det fanns ett problem med validering av sökvägar. Problemet åtgärdades genom förbättrad sanering av miljön.

    CVE-ID

    CVE-2015-3761: Apple

  • Libc

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Bearbetning av ett skadligt reguljärt uttryck kan leda till att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Det fanns minneskorruptionsproblem i TRE-biblioteket. Dessa åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3796: Ian Beer på Google Project Zero

    CVE-2015-3797: Ian Beer på Google Project Zero

    CVE-2015-3798: Ian Beer på Google Project Zero

  • Libinfo

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Det fanns minneskorruptionsproblem i hantering av AF_INET6-sockets. Dessa åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av syscalls. Problemet har åtgärdats genom förbättrad låsstatuskontroll.

    CVE-ID

    CVE-2015-5757: Lufeng Li på Qihoo 360

  • libxml2

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter fanns i libxml2-versioner äldre än 2.9.2, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service

    Beskrivning: Flera sårbarheter fanns i libxml2-versioner äldre än 2.9.2. De hanterades genom att libxml2 uppdaterades till version 2.9.2.

    CVE-ID

    CVE-2012-6685: Felix Groebert på Google

    CVE-2014-0191: Felix Groebert på Google

  • libxml2

    Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

    Beskrivning: Det fanns ett problem med minnesåtkomsten i libxml2. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-3660: Felix Groebert på Google

  • libxml2

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

    Beskrivning Ett problem med minneskorruption förekom vid tolkning av XML-filer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3807: Apple

  • libxpc

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett problem med minneskorruption förekom i hanteringen av felaktigt utformade XPC-meddelanden. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En lokal användare kan köra godtyckliga skalkommandon

    Beskrivning: Det fanns ett valideringsproblem i mailx-tolkning av e-postadresser. Problemet åtgärdades genom förbättrad sanering.

    CVE-ID

    CVE-2014-7844

  • Notiscenter OS X

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Ett skadligt program kan komma åt alla notiser som tidigare har visats för användare

    Beskrivning: Det fanns ett problem i Notiscenter som gjorde att användares notiser inte raderades korrekt. Problemet åtgärdades genom att notiser som avfärdats av användare raderas.

    CVE-ID

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i NTFS. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5763: Roberto Paleari och Aristide Fattori på Emaze Networks

  • OpenSSH

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Fjärrangripare kan kringgå en tidsfördröjning för misslyckade inloggningsförsök och genomföra brute force-angrepp

    Beskrivning: Det fanns ett problem med bearbetning av tangentbordsinteraktiva enheter. Problemet har åtgärdats genom förbättrad validering av autentiseringsförfrågningar.

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter fanns i OpenSSL-versioner äldre än 0.9.8zg, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service.

    Beskrivning: Det fanns flera sårbarheter i OpenSSL-versioner äldre än 0.9.8zg. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zg.

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av ett skadligt reguljärt uttryck kan leda till avslöjande av att program avslutas oväntat eller att opålitlig kod körs

    Beskrivning: Det fanns ett problem med heltalsunderskott i hur Perl tolkade reguljära uttryck. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: En angripare kan orsaka att program avslutas oväntat eller få åtkomst till data utan korrekt autentisering

    Beskrivning: Det fanns flera problem i PostgreSQL 9.2.4. Problemen åtgärdades genom att PostgreSQL uppdaterades till 9.2.13.

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter förekom i Python 2.7.6, av vilka den allvarligaste kunde leda till att opålitlig kod kördes

    Beskrivning: Flera sårbarheter fanns i Python-versioner äldre än 2.7.6. De hanterades genom att Python uppdaterades till version 2.7.10.

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av ett Microsoft Word-dokument med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med minneskorruption förekom vid tolkning av Office-dokument. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5773: Apple

  • QL Office

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av en XML-fil med skadligt innehåll kan leda till att användarinformation avslöjas

    Beskrivning: Det fanns ett problem med External Entity-referenser vid tolkning av XML-filer. Problemet har åtgärdats genom förbättrad tolkning.

    CVE-ID

    CVE-2015-3784: Bruno Morisson på INTEGRITY S.A.

  • Quartz Composer Framework

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av en skadlig QuickTime-fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Ett problem med minneskorruption förekom vid tolkning av QuickTime-filer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5771: Apple

  • Överblicka

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Sökning efter en tidigare visad webbplats kan göra att webbläsaren startas och visar den webbplatsen

    Beskrivning: Det fanns ett problem där Överblicka hade förmåga att köra JavaScript. Problemet åtgärdades genom att körning av JavaScript förbjöds.

    CVE-ID

    CVE-2015-3781: Andrew Pouliot på Facebook, Anto Loyola på Qubole

  • QuickTime 7

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Bearbetning av en skadlig fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i QuickTime. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: Bearbetning av en skadlig fil kan leda till oväntad programavslutning eller körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i QuickTime. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3765: Joe Burnett på Audio Poison

    CVE-2015-3788: Ryan Pentney och Richard Johnson på Cisco Talos

    CVE-2015-3789: Ryan Pentney och Richard Johnson på Cisco Talos

    CVE-2015-3790: Ryan Pentney och Richard Johnson på Cisco Talos

    CVE-2015-3791: Ryan Pentney och Richard Johnson på Cisco Talos

    CVE-2015-3792: Ryan Pentney och Richard Johnson på Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Visning av en felaktigt utformad Collada-fil kan leda till körning av opålitlig kod

    Beskrivning: Ett heap-buffertspill förekom i SceneKits hantering av Collada-filer. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5772: Apple

  • SceneKit

    Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i SceneKit. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3783: Haris Andrianakis på Google Security Team

  • Säkerhet

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En standardanvändare kan få åtkomst till administratörsbehörigheter utan korrekt autentisering

    Beskrivning: Ett problem existerade i hanteringen av användarautentisering. Problemet har åtgärdats genom förbättrade autentiseringkontroller.

    CVE-ID

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom på SMB-klienten. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3773: Ilja van Sprundel

  • Användargränssnittet i Tal

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Vid tolkning av en skadlig unicode-sträng med aktiverade varningar i Tal kan program avslutas oväntat eller opålitlig kod köras

    Beskrivning: Ett problem med minneskorruption förekom i hanteringen av Unicode-strängar. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3794: Adam Greenbaum på Refinitive

  • sudo

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter fanns i sudo-versioner äldre än 1.7.10p9, varav den allvarligaste kunde ge en angripare åtkomst till godtyckliga filer

    Beskrivning: Det fanns flera sårbarheter i sudo-versioner äldre än 1.7.10p9. Dessa problem åtgärdades genom att sudo uppdaterades till 1.7.10p9.

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Flera sårbarheter fanns i tcpdump 4.7.3, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service.

    Beskrivning: Flera sårbarheter fanns i tcpdump-versioner äldre än 4.7.3. De hanterades genom att tcpdump uppdaterades till version 4.7.3.

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • Textformat

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Tolkning av en textfil med skadligt innehåll kan leda till att användarinformation avslöjas

    Beskrivning: Det fanns ett problem med XML External Entity-referenser vid TextEdit-tolkning. Problemet har åtgärdats genom förbättrad tolkning.

    CVE-ID

    CVE-2015-3762: Xiaoyong Wu på Evernote Security Team

  • udf

    Tillgänglig för: OS X Yosemite 10.10 till 10.10.4

    Effekt: Bearbetning av en skadlig DMG-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs med systembehörighet

    Beskrivning: Det fanns ett minneskorruptionsproblem vid tolkning av felaktigt skapade DMG-bilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-3767: beist of grayhash

I OS X Yosemite 10.10.5 ingår säkerhetsinnehållet i Safari 8.0.8.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: