Om säkerhetsinnehållet i OS X El Capitan 10.11

Det här dokumentet beskriver säkerhetsinnehållet i OS X El Capitan 10.11.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

OS X El Capitan 10.11

  • Adressbok

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal angripare kan få möjlighet att införa opålitlig kod i processer som läser in adressboksramverket

    Beskrivning: Ett problem förekom i adressboksramverkets hantering av en miljövariabel. Problemet åtgärdades genom förbättrad miljövariabelhantering.

    CVE-ID

    CVE-2015-5897: Dan Bastone på Gotham Digital Science

  • AirScan

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare med privilegierad nätverksposition kunde extrahera nyttolast från eSCL-paket skickade över en säker anslutning

    Beskrivning: Ett problem förekom i bearbetningen av eSCL-paket. Problemet har åtgärdats genom förbättrade valideringskontroller.

    CVE-ID

    CVE-2015-5853: en anonym forskare

  • apache_mod_php

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i PHP

    Beskrivning: Flera sårbarheter förekom i PHP-versioner innan 5.5.27, bland annat en sårbarhet som kunde leda till fjärrkörning av kod. Det här problemet åtgärdades genom att uppdatera PHP till version 5.5.27.

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt program kunde få åtkomst till en användares nyckelringsobjekt

    Beskrivning: Ett problem förekom i valideringen av åtkomstkontrollistor för objekt i iCloud-nyckelringen. Problemet åtgärdades genom förbättrade kontroller av åtkomstkontrollistor.

    CVE-ID

    CVE-2015-5836: XiaoFeng Wang på Indiana University, Luyi Xing på Indiana University, Tongxin Li på Peking University, Tongxin Li på Peking University, Xiaolong Bai på Tsinghua University

  • AppleEvents

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En användare ansluten genom skärmdelning kan skicka Apple Events till en lokal användares session

    Beskrivning: Ett problem förekom med Apple Event-filtrering som medförde att vissa användare kunde skicka händelser till andra användare. Detta åtgärdades genom förbättrad Apple Event-hantering.

    CVE-ID

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Ljud

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Uppspelning av en skadlig ljudfil kan leda till en oväntad programavslutning

    Beskrivning: Ett minnesfel förekom i hantering av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea

  • bash

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i bash

    Beskrivning: Flera sårbarheter förekom i bash-versioner före 3.2 patchnivå 57. Dessa problem hanterades genom att uppdatera bash version 3.2 till patchnivå 57.

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Certifierad förtroendepolicy

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på https://support.apple.com/sv-se/HT202858.

  • CFNetwork-cookies

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare i en privilegierad nätverksposition kan spåra en användares aktivitet

    Beskrivning: En cookie över flera domäner existerade i hanteringen av toppnivådomäner. Problemet åtgärdades genom förbättrade begränsningar för att skapa cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork FTPProtocol

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Skadliga FTP-servrar kan leda till att klienten kan spionera på andra värdar

    Beskrivning: Ett problem förekom i hanteringen av FTP-paket vid användning av PASV-kommandot. Problemet löstes genom förbättrad validering.

    CVE-ID

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En skadlig webbadress kunde kringgå HSTS och läcka känsliga data

    Beskrivning: Det förekom sårbarhet vid webbadresstolkning i HSTS-hantering. Problemet åtgärdades genom förbättrad URL-tolkning.

    CVE-ID

    CVE-2015-5858: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork HTTPProtocol

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka nätverkstrafik

    Beskrivning: Ett problem förekom i hanteringen av förhämtade HSTS-listposter i Safaris privata surfningsläge. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-5859: Rosario Giustolisi på University of Luxembourg

  • CFNetwork HTTPProtocol

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En skadlig webbplats kan spåra användare som använder privat surfning i Safari

    Beskrivning: Det förekom ett fel i hanteringen av HSTS-tillstånd med privat surfning i Safari. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-5860: Sam Greenhalgh på RadicalResearch Ltd

  • CFNetwork Proxies

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Vid anslutning till en skadlig webbproxy kan skadliga cookies för en webbplats ställas in

    Beskrivning: Ett problem förekom i hanteringen av proxyanslutningssvar. Problemet hanterades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: Det förekom ett problem med certifikatvalidering i NSURL när ett certifikat ändrades. Problemet åtgärdades genom förbättrad certifikatvalidering.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood på The Omni Group

  • CFNetwork SSL

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Problem: En angripare kan avkryptera data som skyddas av SSL

    Beskrivning: Det finns kända attacker på konfidentialiteten för RC4. En angripare kunde tvinga fram användning av RC4, även om servern föredrog bättre chiffer, genom att blockera TLS 1.0 och högre anslutningar tills CFNetwork provade SSL 3.0, som endast tillåter RC4. Problemet åtgärdades genom att användning av SSL 3.0 som reserv uteslöts.

  • CoreCrypto

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare kan bestämma en privat nyckel

    Beskrivning: Genom att observera flera signerings- och avkrypteringsförsök kan en angripare avgöra den privata RSA-nyckel. Problemet hanterades genom förbättrade krypteringsalgoritmer.

  • CoreText

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i hanteringen av dyld. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5876: beist på grayhash

  • Dev Tools

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Ett problem förekom med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5839: @PanguTeam

  • Skivavbilder

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett minnesfel förekom i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Ett problem förekom med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt program kan förhindra att vissa system startar

    Beskrivning: Ett problem existerade med adresserna som täcktes in av det skyddade områdesregistret. Problemet åtgärdades genom ändring av det skyddade området.

    CVE-ID

    CVE-2015-5900: Xeno Kovah och Corey Kallenberg från LegbaCore

  • EFI

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En skadlig Apple Ethernet Thunderbolt-adapter kan påverka den fasta programvaran

    Beskrivning: Apple Ethernet Thunderbolt-adaptrar kunde ändra den värdbaserade fasta programvaran om den anslöts under en EFI-uppdatering. Problemet åtgärdades genom att inte läsa in alternativa ROM under uppdatering.

    CVE-ID

    CVE-2015-5914: Trammell Hudson på Two Sigma Investments and snare

  • Finder

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Funktionen för säker tömning av papperskorgen kan inte ta bort filer som lagts i papperskorgen säkert

    Beskrivning: Ett problem förekom vid garanterande av säker borttagning av filer i papperskorgen på vissa system, till exempel sådana med flashlagring. Problemet åtgärdades genom borttagning av alternativet för säker tömning av papperskorgen.

    CVE-ID

    CVE-2015-5901: Apple

  • Game Center

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt Game Center-program kan komma åt en spelares e-postadress

    Beskrivning: Det förekom ett problem i Game Centers hantering av en spelares e-post. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

    CVE-ID

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare kunde eventuellt spela upp Kerberos-inloggningsuppgifter för SMB-servern

    Beskrivning: Ett autentiseringsproblem förekom i Kerberos-inloggningsuppgifterna. Problemet åtgärdades genom ytterligare validering av inloggningsuppgifterna med en lista över nyligen visade inloggningsuppgifter.

    CVE-ID

    CVE-2015-5913: Tarun Chopra på Microsoft Corporation, U.S. och Yu Fan på Microsoft Corporation, China

  • ICU

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i ICU

    Beskrivning: Flera sårbarheter fanns i ICU-versioner äldre än 53.1.0. De hanterades genom att uppdatera ICU till version 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand på Google Project Zero

  • Äldre Install Framework

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan få tillgång till rotbehörigheter

    Beskrivning: Ett begränsningsproblem förekom i ramverket för privat installation innehållande en privilegierad körbar fil. Problemet åtgärdades genom att den körbara filen togs bort.

    CVE-ID

    CVE-2015-5888: Apple

  • Intel Graphics-drivrutin

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter

    Beskrivning: Flera minnesfel förekom i Intel-grafikdrivrutinen. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Ett problem förekom i IOAudioFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom permutering av kärnpekare.

    CVE-ID

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier

    Beskrivning: Flera minnesfel förekom i en kernel. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5871: Ilja van Sprundel på IOActive

    CVE-2015-5872: Ilja van Sprundel på IOActive

    CVE-2015-5873: Ilja van Sprundel på IOActive

    CVE-2015-5890: Ilja van Sprundel på IOActive

  • IOGraphics

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem förekom i IOGraphics och kan ha avslöjat schemat för kärnminnet. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

    Beskrivning: Flera minnesfel förekom i IOHIDFamily. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5866: Apple

    CVE-2015-5867: moony li på Trend Micro

  • IOStorageFamily

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal angripare kan läsa kärnminne

    Beskrivning: Ett fel med minnesinitialisering förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel på IOActive

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier

    Beskrivning: Flera minnesfel förekom i en kernel. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5868: Cererdlong på Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard på m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal process kan ändra andra processer utan behörighetskontroller

    Beskrivning: Det förekom ett problem där rotprocesser som använder processor_set_tasks API tilläts hämta task port för andra processer. Problemet åtgärdades genom ytterligare behörighetskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, med hjälp av ursprunglig forskning av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal angripare kan styra värdet för cookies i stacken

    Beskrivning: Det förekom flera svagheter när cookies i stacken för användarutrymmet skulle genereras. Problemen åtgärdades genom förbättrad generering av stackcookies.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare kan starta denial of service-attacker med TCP-anslutningar som mål utan att känna till korrekt sekvensnummer

    Beskrivning: Det förekom ett problem med xnu:s validering av TCP-paketrubriker. Problemet åtgärdades genom förbättrad TCP-paketrubrikvalidering.

    CVE-ID

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare i ett lokalt LAN-segment kunde avaktivera IPv6-routing

    Beskrivning: Ett problem med otillräcklig validering förekom i hantering av IPv6-routerannonsering som tillät en angripare att sätta hopgränsen till ett godtyckligt värde. Problemet hanterades genom att införa en gräns för minsta antal hopp.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Ett problem förekom som ledde till att schemat för kärnminnet avslöjades. Det hanterades genom förbättrad initiering av kärnminnesstrukturer.

    CVE-ID

    CVE-2015-5842: beist of grayhash

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Ett problem förekom i felsökningsgränssnitt som ledde till att minnesinnehåll avslöjades. Problemet åtgärdades genom rensning av utdata från felsökningsgränssnitt.

    CVE-ID

    CVE-2015-5870: Apple

  • Kernel

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

    Beskrivning: Det förekom ett problem med tillståndshantering i felsökningsfunktionen. Problemet har åtgärdats genom förbättrad validering.

    CVE-ID

    CVE-2015-5902: Sergi Alvarez (pancake) på NowSecure Research Team

  • libc

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare kan orsaka körning av opålitlig kod

    Beskrivning: Ett minnesfel förekom i funktionen fflush. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2014-8611: Adrian Chadd och Alfred Perlstein på Norse Corporation

  • libpthread

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier

    Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team

  • libxpc

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Många SSH-anslutningar kan orsaka att tjänster nekas i systemet

    Beskrivning: launchd hade ingen begränsning för antalet processer som kunde startas av en nätverksanslutning. Problemet åtgärdades genom begränsning av antalet SSH-processer till 40.

    CVE-ID

    CVE-2015-5881: Apple

  • Inloggningsfönstret

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Skärmlåset kanske inte aktiveras efter en viss tidsperiod

    Beskrivning: Ett problem förekom med inhämtad skärmlåsning. Problemet har åtgärdats genom förbättrad låshantering.

    CVE-ID

    CVE-2015-5833: Carlos Moreira, Rainer Dorau på rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera och Jon Hall på Asynchrony

  • lukemftpd

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En fjärrangripare kan neka åtkomst till FTP-servern

    Beskrivning: Ett problem med glob-bearbetning förekom i tnftpd. Problemet åtgärdades genom förbättrad globvalidering.

    CVE-ID

    CVE-2015-5917: Maksymilian Arciemowicz på cxsecurity.com

  • Mail

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Utskrift av ett e-postmeddelanden kunde läcka känslig användarinformation

    Beskrivning: Ett problem förekom i Mail som kringgår användarinställningarna vid utskrift av ett e-postmeddelande. Problemet åtgärdades genom förbättrad tvingad användning av användarinställningar.

    CVE-ID

    CVE-2015-5881: Owen DeLong på Akamai Technologies, Noritaka Kamiya, Dennis Klein på Eschenburg, Tyskland, Jeff Hammett på Systim Technology Partners

  • Mail

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En angripare på en privilegierad nätverksposition kunde påverka bilagor i S/MIME-krypterad e-post skickad via Mail Drop

    Beskrivning: Ett problem förekom i hantering av krypteringsparametrar för stora e-postbilagor skickade via Mail Drop. Problemet åtgärdades genom att inte längre erbjuda Mail Drop vid sändning av krypterad e-post.

    CVE-ID

    CVE-2015-5884: John McCombs på Integrated Mapping Ltd

  • Multipeer Connectivity

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal angripare kan observera oskyddade multipeer-data

    Beskrivning: Det förekom ett problem med hanteringen av bekvämlighetsinitieraren som ledde till att krypteringen aktivt kunde nedgraderas till en icke-krypterad session. Problemet hanterades genom att ändra bekvämlighetsinitieraren till att kräva kryptering.

    CVE-ID

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) på Data Theorem

  • NetworkExtension

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett oinitierat minnesproblem i en kernel ledde till att kärnminnesinnehållet avslöjades. Problemet åtgärdades genom förbättrad minnesinitiering.

    CVE-ID

    CVE-2015-5831: Maxime Villard på m00nbsd

  • Anteckningar

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan läcka känslig användarinformation

    Beskrivning: Ett problem förekom i tolkning av länkar i Anteckningar. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5878: Craig Young på Tripwire VERT, en anonym forskare

  • Anteckningar

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan läcka känslig användarinformation

    Beskrivning: Ett problem med skriptkörning över flera platser förekom i tolkning av text av Anteckningar. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5875: xisigr på Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i OpenSSH

    Beskrivning: Flera sårbarheter förekom i OpenSSH-versioner äldre än 6.9. De hanterades genom att OpenSSH uppdaterades till version 6.9.

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i OpenSSL

    Beskrivning: Det fanns flera sårbarheter i OpenSSL-versioner äldre än 0.9.8zg. Dessa problem åtgärdades genom att OpenSSL uppgraderades till 0.9.8zg.

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i procmail

    Beskrivning: Flera sårbarheter förekom i procmail-versioner före 3.22. Problemen åtgärdades genom borttagning av procmail.

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med rotprivilegier

    Beskrivning: Ett problem förekom i användningen av miljövariabler av rsh-binären. Problemet åtgärdades genom att setuid-behörigheterna togs bort från rsh-binären.

    CVE-ID

    CVE-2015-5889: Philip Pettersson

  • removefile

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Behandling av skadliga data kan leda till oväntat programavslut

    Beskrivning: Det förekom ett spillfel i rutinerna för checkint division. Problemet hanterades genom förbättrade rutiner för divisioner.

    CVE-ID

    CVE-2015-5840: en anonym person

  • Ruby

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i Ruby

    Beskrivning: Flera sårbarheter förekom i Ruby-versioner före 2.0.0p645. Dessa problem åtgärdades genom att Ruby uppdaterades till 2.0.0p645.

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Säkerhet

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Låsläget för nyckelringen kunde visas felaktigt för användaren

    Beskrivning: Ett lägeshanteringsproblem förekom i det sätt som nyckelringens låsstatus spårades. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-5915: Peter Walz på University of Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Säkerhet

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En tillförlitlighetsutvärdering konfigurerad att kräva återkallelsekontroll kunde lyckas även om återkallelsekontrollen misslyckades

    Beskrivning: Flaggan kSecRevocationRequirePositiveResponse angavs men implementerades inte. Problemet åtgärdades genom att flaggan implementerades.

    CVE-ID

    CVE-2015-5894: Hannes Oud på kWallet GmbH

  • Säkerhet

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En fjärrserver kunde be om ett certifikat innan den identifierade sig

    Beskrivning: Secure Transport accepterade CertificateRequest-meddelandet före ServerKeyExchange-meddelandet. Problemet åtgärdades genom att kräva ServerKeyExchange först.

    CVE-ID

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti och Jean Karim Zinzindohoue på INRIA Paris-Rocquencourt, och Cedric Fournet och Markulf Kohlweiss på Microsoft Research, Pierre-Yves Strub på IMDEA Software Institute

  • SMB

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med kernelprivilegier

    Beskrivning: Ett minnesfel förekom i kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5891: Ilja van Sprundel på IOActive

  • SMB

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Ett fel förekom i SMBClient som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5893: Ilja van Sprundel på IOActive

  • SQLite

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Flera sårbarheter i SQLite 3.8.5

    Beskrivning: Det förekom flera sårbarheter i SQLite 3.8.5. De åtgärdades genom att uppdatera SQLite till 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefoni

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal angripare kunde ringa telefonsamtal utan användarens vetskap vid användning av Synkad

    Beskrivning: Ett problem förekom i auktorisationskontrollerna för att ringa telefonsamtal. Problemet åtgärdades genom förbättrade auktorisationskontroller.

    CVE-ID

    CVE-2015-3785: Dan Bastone på Gotham Digital Science

  • Terminal

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Skadligt utformad text kunde lura användaren i Terminal

    Beskrivning: Terminal hanterade inte dubbelriktade ersättningstecken på samma sätt vid visning av text och vid markering av text. Problemet åtgärdades genom undertryckande av dubbelriktade åsidosättningstecken i Terminal.

    CVE-ID

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av opålitlig kod

    Beskrivning: Flera minnesfel förekom i tidy. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz på NULLGroup.com

    CVE-2015-5523: Fernando Muñoz på NULLGroup.com

  • Time Machine

    Tillgängligt för: Mac OS X 10.6.8 och senare

    Effekt: En lokal angripare kunde få tillgång till nyckelringsobjekt

    Beskrivning: Ett problem förekom i säkerhetskopior av Time Machine-ramverket. Problemet åtgärdades genom förbättrad täckning av Time Machine-säkerhetskopior.

    CVE-ID

    CVE-2015-5854: Jonas Magazinius på Assured AB

Obs! I OS X El Capitan 10.11 ingår säkerhetsinnehållet i Safari 9.

 

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: