Om säkerhetsinnehållet i OS X Yosemite 10.10.5 och säkerhetsuppdatering 2015-006
Det här dokumentet beskriver säkerhetsinnehållet i OS X Yosemite 10.10.5 och säkerhetsuppdatering 2015-006.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
OS X Yosemite 10.10.5 och säkerhetsuppdatering 2015-006
apache
Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter fanns i Apache 2.4.16, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service.
Beskrivning: Flera sårbarheter fanns i Apache-versioner äldre än 2.4.16. De hanterades genom att uppdatera Apache till version 2.4.16.
CVE-ID
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter förekom i PHP 5.5.20, där den allvarligaste kunde leda till att opålitlig kod kördes.
Beskrivning: Flera sårbarheter fanns i PHP-versioner äldre än 5.5.20. De hanterades genom att Apache uppdaterades till version 5.5.27.
CVE-ID
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Apple-ID OD plugin-program
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan ändra lösenordet för en lokal användare
Beskrivning: Under vissa omständigheter fanns det ett problem med tillståndshantering vid lösenordsautentisering. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-3799: anonym forskare i samarbete med HP:s Zero Day Initiative
AppleGraphicsControl
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem fanns i AppleGraphicsControl och kunde ha lett till avslöjande av schemat för kärnminnet. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-5768: JieTao Yang på KeenTeam
Bluetooth
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i IOBluetoothHCIController. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3779: Teddy Reed från Facebook Security
Bluetooth
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett minneshanteringsproblem kunde ha lett till att schemat för kärnminnet avslöjades. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3780: Roberto Paleari och Aristide Fattori från Emaze Networks
Bluetooth
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En skadlig app kan eventuellt komma åt meddelanden från andra iCloud-enheter
Beskrivning: Det fanns ett problem där en skadlig app kunde komma åt Notiscenter-meddelanden på en Bluetooth-parkopplad Mac- eller iOS-enhet via Apples Notiscenter-tjänst. Problemet gällde enheter som använde Handoff och loggade in på samma iCloud-konto. Problemet åtgärdades genom att åtkomsten till Apples Notiscenter-tjänst drogs in.
CVE-ID
CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)
Bluetooth
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En angripare med priviligerad nätverksposition kan utföra en denial of service-attack med felformaterade Bluetooth-paket
Beskrivning: Ett indatavalideringsproblem existerade vid tolkning av Bluetooth ACL-paket. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-3787: Trend Micro
Bluetooth
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En lokal angripare kunde orsaka oväntade programavslut eller körning av opålitlig kod.
Beskrivning: Flera problem med buffertspill förekom i blueds hantering av XPC-meddelanden. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-3777: mitp0sh på [PDX]
bootp
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att ett godtyckligt Wi-Fi-nätverk kan avgöra vilka nätverk en enhet har tidigare anslutit till
Beskrivning: Vid anslutning till ett Wi-Fi-nätverk kan iOS ha skickat MAC-adresser för nätverk som tidigare anslutits till via DNAv4-protokollet. Problemet åtgärdades genom att DNAv4 inaktiveras på okrypterade Wi-Fi-nätverk.
CVE-ID
CVE-2015-3778: Piers O'Hanlon på Oxford Internet Institute, University of Oxford (i EPSRC Being There-projektet)
CloudKit
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan eventuellt komma åt iClouds användarregister för en tidigare inloggad användare
Beskrivning: Det fanns en lägesinkonsekvens i CloudKit när användare loggas ut. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-3782: Deepkanwal Plaha på University of Toronto
Uppspelning av CoreMedia
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Uppspelning av en skadlig filmfil kan leda till oväntad programavslutning eller körning av godtycklig kod
Beskrivning: Det fanns minneskorruptionsproblem vid uppspelning i CoreMedia. Dessa åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
curl
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter fanns i cURL och libcurl före version 7.38.0, varav en kunde göra det möjligt för fjärrangripare att kringgå Same Origin Policy.
Beskrivning: Flera sårbarheter fanns i cURL och libcurl före version 7.38.0. Problemen åtgärdades genom att cURL uppdaterades till version 7.43.0.
CVE-ID
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Bearbetning av en sekvens av unicode-tecken kan orsaka oväntade programavslut eller att opålitlig kod körs
Beskrivning: Det fanns minneskorruptionsproblem vid bearbetning av Unicode-tecken. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5750: M1x7e1 på Safeye Team (www.safeye.org)
Inställningsrutan för datum och tid
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Program som förlitar sig på systemets tidsangivelse kan bete sig oväntat
Beskrivning: Det fanns ett auktoriseringsproblem när systemets datum och tid ändrades. Problemet åtgärdades genom utökade autentiseringskontroller.
CVE-ID
CVE-2015-3757: Mark S. C. Smith
Programmet Ordbok
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En angripare med en privilegierad nätverksposition kan få tillgång till användares sökningar i programmet Ordbok
Beskrivning: Det fanns ett problem i programmet Ordbok som gjorde att användarnas kommunikation inte var säker. Problemet åtgärdades genom att flytta sökningar i Ordbok till HTTPS.
CVE-ID
CVE-2015-3774: Jeffrey Paul på EEQJ, Jan Bee på Google Security Team
DiskImages
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Bearbetning av en skadlig DMG-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs med systembehörighet
Beskrivning: Det fanns ett minneskorruptionsproblem vid tolkning av felaktigt skapade DMG-bilder. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3800: Frank Graziano på Yahoo Pentest Team
dyld
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med validering av sökvägar förekom i dyld. Problemet åtgärdades genom förbättrad sanering av miljön.
CVE-ID
CVE-2015-3760: beist of grayhash, Stefan Esser
FontParser
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Öppning av en skadlig typsnittsfil kan leda till oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
groff
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: flera problem i pdfroff
Beskrivning: Det fanns flera problem i pdfroff, där det allvarligaste kan orsaka att godtyckliga ändringar i filsystemet tillåts. Problemen åtgärdades genom att pdfroff togs bort.
CVE-ID
CVE-2009-5044
CVE-2009-5078
ImageIO
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Visning av en TIFF-bild med skadligt innehåll kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Ett minnesfel förekom i bearbetning av TIFF-filer. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-5758: Apple
ImageIO
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Besök på en webbplats med skadligt innehåll kan leda till spridning av processminne
Beskrivning: Det fanns ett problem med oinitierad minnesåtkomst i ImageIO:s hantering av PNG- och TIFF-bilder. Besök på en webbsida med skadligt innehåll kan leda till att data skickas från processminnet till webbplatsen. Problemet åtgärdades genom bättre minneshantering och ytterligare validering av PNG- och TIFF-bilder.
CVE-ID
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Äldre Install Framework
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra opålitlig kod med rotprivilegier
Beskrivning: Det fanns ett fel i hur Install.frameworks binära ”runner” sänkte behörigheter. Problemet åtgärdades genom förbättrad behörighetshantering.
CVE-ID
CVE-2015-5784: Ian Beer på Google Project Zero
Äldre Install Framework
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Det fanns ett race-villkor i Install.frameworks binära ”runner” som orsakade att behörigheter sänktes felaktigt. Problemet åtgärdades genom förbättrad objektslåsning.
CVE-ID
CVE-2015-5754: Ian Beer på Google Project Zero
IOFireWireFamily
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Det fanns minneskorruptionsproblem i IOFireWireFamily. Dessa problem har åtgärdats genom ytterligare indatavalidering.
CVE-ID
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i IOGraphics. Problemet har åtgärdats genom ytterligare indatavalidering.
CVE-ID
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett buffertspillproblem förekom i IOHIDFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5774: TaiG Jailbreak Team
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Det fanns ett problem i gränssnittet mach_port_space_info som kunde ha lett till att schemat för kärnminnet avslöjades. Problemet åtgärdades genom att gränssnittet mach_port_space_info inaktiverades.
CVE-ID
CVE-2015-3766: Cererdlong på Alibaba Mobile Security Team, @PanguTeam
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett heltalsspill förekom vid hanteringen av IOKit-funktioner. Problemet åtgärdades genom förbättrad validering av IOKit API-argument.
CVE-ID
CVE-2015-3768: Ilja van Sprundel
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En lokal användare kan orsaka denial of service i systemet
Beskrivning: Det fanns ett resursbegränsningsproblem i fasttrap-drivrutinen. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5747: Maxime VILLARD på m00nbsd
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En lokal användare kan orsaka denial of service i systemet
Beskrivning: Det fanns ett valideringsproblem i monteringen av HFS-volymer. Problemet åtgärdades genom att utökade kontroller lades till.
CVE-ID
CVE-2015-5748: Maxime VILLARD på m00nbsd
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra osignerad kod
Beskrivning: Det fanns ett problem som gjorde att osignerad kod kunde läggas till i signerad kod i en särskilt skapad körbar fil. Problemet åtgärdades genom förbättrad validering av kodsignatur.
CVE-ID
CVE-2015-3806: TaiG Jailbreak Team
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En speciellt utformad körbar fil kunde göra att osignerad, skadlig kod tilläts att köras
Beskrivning: Det fanns ett problem med hur körbara filer med flera arkitekturer utvärderades som gjorde att osignerad kod kunde tillåtas att köras. Det här problemet åtgärdades med förbättrad validering av körbara filer.
CVE-ID
CVE-2015-3803: TaiG Jailbreak Team
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En lokal användare kan exekvera osignerad kod
Beskrivning: Ett valideringsproblem förekom i hanteringen av Mach-O-filer. Problemet åtgärdades genom att utökade kontroller lades till.
CVE-ID
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av en skadlig plist kan leda till oväntade programavslut eller körning av opålitlig kod med systembehörighet
Beskrivning: Det fanns en minneskorruption i bearbetningen av felaktigt skapade plists. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3776: Teddy Reed på Facebook Security, Patrick Stein (@jollyjinx) på Jinx Germany
Kärna
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Det fanns ett problem med validering av sökvägar. Problemet åtgärdades genom förbättrad sanering av miljön.
CVE-ID
CVE-2015-3761: Apple
Libc
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Bearbetning av ett skadligt reguljärt uttryck kan leda till att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Det fanns minneskorruptionsproblem i TRE-biblioteket. Dessa åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3796: Ian Beer på Google Project Zero
CVE-2015-3797: Ian Beer på Google Project Zero
CVE-2015-3798: Ian Beer på Google Project Zero
Libinfo
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Det fanns minneskorruptionsproblem i hantering av AF_INET6-sockets. Dessa åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5776: Apple
libpthread
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i hanteringen av syscalls. Problemet har åtgärdats genom förbättrad låsstatuskontroll.
CVE-ID
CVE-2015-5757: Lufeng Li på Qihoo 360
libxml2
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter fanns i libxml2-versioner äldre än 2.9.2, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service
Beskrivning: Flera sårbarheter fanns i libxml2-versioner äldre än 2.9.2. De hanterades genom att libxml2 uppdaterades till version 2.9.2.
CVE-ID
CVE-2012-6685: Felix Groebert på Google
CVE-2014-0191: Felix Groebert på Google
libxml2
Tillgänglig för: OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas
Beskrivning: Det fanns ett problem med minnesåtkomsten i libxml2. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2014-3660: Felix Groebert på Google
libxml2
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas
Beskrivning Ett problem med minneskorruption förekom vid tolkning av XML-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3807: Apple
libxpc
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av felaktigt utformade XPC-meddelanden. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-3795: Mathew Rowley
mail_cmds
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En lokal användare kan köra godtyckliga skalkommandon
Beskrivning: Det fanns ett valideringsproblem i mailx-tolkning av e-postadresser. Problemet åtgärdades genom förbättrad sanering.
CVE-ID
CVE-2014-7844
Notiscenter OS X
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Ett skadligt program kan komma åt alla notiser som tidigare har visats för användare
Beskrivning: Det fanns ett problem i Notiscenter som gjorde att användares notiser inte raderades korrekt. Problemet åtgärdades genom att notiser som avfärdats av användare raderas.
CVE-ID
CVE-2015-3764: Jonathan Zdziarski
ntfs
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i NTFS. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5763: Roberto Paleari och Aristide Fattori på Emaze Networks
OpenSSH
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Fjärrangripare kan kringgå en tidsfördröjning för misslyckade inloggningsförsök och genomföra brute force-angrepp
Beskrivning: Det fanns ett problem med bearbetning av tangentbordsinteraktiva enheter. Problemet har åtgärdats genom förbättrad validering av autentiseringsförfrågningar.
CVE-ID
CVE-2015-5600
OpenSSL
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter fanns i OpenSSL-versioner äldre än 0.9.8zg, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service.
Beskrivning: Det fanns flera sårbarheter i OpenSSL-versioner äldre än 0.9.8zg. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zg.
CVE-ID
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av ett skadligt reguljärt uttryck kan leda till avslöjande av att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Det fanns ett problem med heltalsunderskott i hur Perl tolkade reguljära uttryck. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2013-7422
PostgreSQL
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: En angripare kan orsaka att program avslutas oväntat eller få åtkomst till data utan korrekt autentisering
Beskrivning: Det fanns flera problem i PostgreSQL 9.2.4. Problemen åtgärdades genom att PostgreSQL uppdaterades till 9.2.13.
CVE-ID
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter förekom i Python 2.7.6, av vilka den allvarligaste kunde leda till att opålitlig kod kördes
Beskrivning: Flera sårbarheter fanns i Python-versioner äldre än 2.7.6. De hanterades genom att Python uppdaterades till version 2.7.10.
CVE-ID
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av ett Microsoft Word-dokument med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med minneskorruption förekom vid tolkning av Office-dokument. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5773: Apple
QL Office
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av en XML-fil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: Det fanns ett problem med External Entity-referenser vid tolkning av XML-filer. Problemet har åtgärdats genom förbättrad tolkning.
CVE-ID
CVE-2015-3784: Bruno Morisson på INTEGRITY S.A.
Quartz Composer Framework
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av en skadlig QuickTime-fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med minneskorruption förekom vid tolkning av QuickTime-filer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5771: Apple
Överblicka
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Sökning efter en tidigare visad webbplats kan göra att webbläsaren startas och visar den webbplatsen
Beskrivning: Det fanns ett problem där Överblicka hade förmåga att köra JavaScript. Problemet åtgärdades genom att körning av JavaScript förbjöds.
CVE-ID
CVE-2015-3781: Andrew Pouliot på Facebook, Anto Loyola på Qubole
QuickTime 7
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Bearbetning av en skadlig fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i QuickTime. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: Bearbetning av en skadlig fil kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i QuickTime. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3765: Joe Burnett på Audio Poison
CVE-2015-3788: Ryan Pentney och Richard Johnson på Cisco Talos
CVE-2015-3789: Ryan Pentney och Richard Johnson på Cisco Talos
CVE-2015-3790: Ryan Pentney och Richard Johnson på Cisco Talos
CVE-2015-3791: Ryan Pentney och Richard Johnson på Cisco Talos
CVE-2015-3792: Ryan Pentney och Richard Johnson på Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Visning av en felaktigt utformad Collada-fil kan leda till körning av opålitlig kod
Beskrivning: Ett heap-buffertspill förekom i SceneKits hantering av Collada-filer. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5772: Apple
SceneKit
Tillgänglig för: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 till 10.10.4
Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i SceneKit. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3783: Haris Andrianakis på Google Security Team
Säkerhet
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En standardanvändare kan få åtkomst till administratörsbehörigheter utan korrekt autentisering
Beskrivning: Ett problem existerade i hanteringen av användarautentisering. Problemet har åtgärdats genom förbättrade autentiseringkontroller.
CVE-ID
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: En fjärrangripare kunde orsaka oväntade programavslut eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom på SMB-klienten. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3773: Ilja van Sprundel
Användargränssnittet i Tal
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Vid tolkning av en skadlig unicode-sträng med aktiverade varningar i Tal kan program avslutas oväntat eller opålitlig kod köras
Beskrivning: Ett problem med minneskorruption förekom i hanteringen av Unicode-strängar. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3794: Adam Greenbaum på Refinitive
sudo
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter fanns i sudo-versioner äldre än 1.7.10p9, varav den allvarligaste kunde ge en angripare åtkomst till godtyckliga filer
Beskrivning: Det fanns flera sårbarheter i sudo-versioner äldre än 1.7.10p9. Dessa problem åtgärdades genom att sudo uppdaterades till 1.7.10p9.
CVE-ID
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Flera sårbarheter fanns i tcpdump 4.7.3, där den allvarligaste kunde göra det möjligt för en fjärrangripare att orsaka denial of service.
Beskrivning: Flera sårbarheter fanns i tcpdump-versioner äldre än 4.7.3. De hanterades genom att tcpdump uppdaterades till version 4.7.3.
CVE-ID
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Textformat
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Tolkning av en textfil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: Det fanns ett problem med XML External Entity-referenser vid TextEdit-tolkning. Problemet har åtgärdats genom förbättrad tolkning.
CVE-ID
CVE-2015-3762: Xiaoyong Wu på Evernote Security Team
udf
Tillgänglig för: OS X Yosemite 10.10 till 10.10.4
Effekt: Bearbetning av en skadlig DMG-fil kan leda till att program avslutas oväntat eller att opålitlig kod körs med systembehörighet
Beskrivning: Det fanns ett minneskorruptionsproblem vid tolkning av felaktigt skapade DMG-bilder. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-3767: beist of grayhash
I OS X Yosemite 10.10.5 ingår säkerhetsinnehållet i Safari 8.0.8.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.