เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X Yosemite v10.10.3 และการอัพเดทความปลอดภัย 2015-004

เอกสารนี้จะอธิบายถึงเนื้อหาด้านความปลอดภัยของ OS X Yosemite v10.10.3 และการอัพเดทความปลอดภัย 2015-004

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple ให้ดูเว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

ดูข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple ที่วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ ดูการอัพเดทความปลอดภัยของ Apple

OS X Yosemite v10.10.3 และการอัพเดทความปลอดภัย 2015-004

  • Admin Framework

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: กระบวนการอาจได้รับสิทธิ์ผู้ดูแลระบบโดยไม่ได้มีการพิสูจน์ตัวตนอย่างเหมาะสม

    คำอธิบาย: มีปัญหาเมื่อตรวจสอบการให้สิทธิ์ XPC ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการให้สิทธิ์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1130: Emil Kvarnhammar จาก TrueSec
     

  • apache

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: มีช่องโหว่จำนวนมากใน Apache

    คำอธิบาย: มีช่องโหว่จำนวนมากใน Apache ก่อนเวอร์ชั่น 2.4.10 และ 2.2.29 รวมทั้งเวอร์ชั่นที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถใช้รหัสได้โดยอำเภอใจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท Apache ให้เป็นเวอร์ชั่น 2.4.10 และ 2.2.29

    CVE-ID

    CVE-2013-5704

    CVE-2013-6438

    CVE-2014-0098

    CVE-2014-0117

    CVE-2014-0118

    CVE-2014-0226

    CVE-2014-0231
  • ATS

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนมากในการตรวจสอบอินพุตใน fontd ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1131: Ian Beer แห่ง Google Project Zero

    CVE-2015-1132: Ian Beer แห่ง Google Project Zero

    CVE-2015-1133: Ian Beer แห่ง Google Project Zero

    CVE-2015-1134: Ian Beer แห่ง Google Project Zero

    CVE-2015-1135: Ian Beer แห่ง Google Project Zero

  • นโยบายความน่าเชื่อถือของใบรับรอง

    ผลกระทบ: อัพเดทให้เป็นไปตามนโยบายความน่าเชื่อถือของใบรับรอง

    คำอธิบาย: นโยบายความน่าเชื่อถือของใบรับรองได้รับการอัพเดท ดูรายการที่สมบูรณ์ของใบรับรอง

  • CFNetwork HTTPProtocol

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: คุกกี้ที่เป็นของต้นทางหนึ่งอาจถูกส่งไปที่ต้นทางอื่น

    คำอธิบาย: มีปัญหาคุกกี้ระหว่างโดเมนในการจัดการการเปลี่ยนเส้นทาง คุกกี้ที่ตั้งค่าในการตอบสนองการเปลี่ยนเส้นทางอาจถูกผ่านไปยังเป้าหมายการเปลี่ยนเส้นทางที่เป็นของต้นทางอื่น ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการการเปลี่ยนเส้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1089: Niklas Keller (http://kelunik.com)

  • CFNetwork Session

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ข้อมูลประจำตัวสำหรับการพิสูจน์ตัวตนอาจถูกส่งไปยังเซิร์ฟเวอร์ที่ต้นทางอื่น

    คำอธิบาย: มีปัญหาส่วนหัวคำขอ HTTP ระหว่างโดเมนในการจัดการการเปลี่ยนเส้นทาง ส่วนหัวคำขอ HTTP ที่ส่งในการตอบสนองการเปลี่ยนเส้นทางอาจถูกผ่านไปยังต้นทางอื่น ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการการเปลี่ยนเส้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1091: Diego Torres (http://dtorres.me)

  • CFURL

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตภายในการประมวลผล URL ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1088: Luigi Galli

  • CoreAnimation

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการใช้งานหลังให้ฟรีใน CoreAnimation ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ mutex ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1136: Apple

  • FontParser

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำจำนวนมากในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1093: Marc Schoenefeld

  • ไดรเวอร์กราฟิก

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีการถอนการอ้างอิงตัวชี้ NULL ในการจัดการไดรเวอร์กราฟิก NVIDIA ของไคลเอนต์ผู้ใช้ IOService บางประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบบริบทเพิ่มเติม

    CVE-ID

    CVE-2015-1137: Frank Graziano และ John Villamil แห่ง Yahoo Pentest Team

  • Hypervisor

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: แอพพลิเคชั่นภายในอาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตในกรอบงานไฮเปอร์ไวเซอร์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1138: Izik Eidus และ Alex Fishman

  • ImageIO

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การประมวลผลไฟล์ .sgi ที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการไฟล์ .sgi ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1139: Apple

  • IOHIDFamily

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: อุปกรณ์ HID ที่เป็นอันตรายอาจเป็นสาเหตุของการการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำใน IOHIDFamily API ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1095: Andrew Church

  • IOHIDFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหามีบัฟเฟอร์ล้นใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1140: lokihardt@ASRT ทำงานร่วมกับ Zero Day Initiative ของ HP, Luca Todesco, Vitaliy Toropov ทำงานร่วมกับ Zero Day Initiative (ZDI) ของ HP

  • IOHIDFamily

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาใน IOHIDFamily ที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1096: Ilja van Sprundel แห่ง IOActive

  • IOHIDFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการคุณสมบัติการเทียบผังที่สำคัญของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4404: Ian Beer แห่ง Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    ผลกระทบ: แอปพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีการถอนการอ้างอิงตัวชี้ Null ในการจัดการคุณสมบัติการเทียบผังที่สำคัญของ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้ว โดยการปรับปรุงการตรวจสอบคุณสมบัติการเทียบผังที่สำคัญของ IOHIDFamily ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4405: Ian Beer แห่ง Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5

    ผลกระทบ: ผู้ใช้อาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเขียนนอกขอบเขตในไดรเวอร์ IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-4380: cunzhang จาก Adlab แห่ง Venustech

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจเป็นเหตุให้เกิดการปิดระบบโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาในการจัดการการทำงานของหน่วยความจำเสมือนภายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขผ่านการปรับปรุงการจัดการการดำเนินการ mach_vm_read

    CVE-ID

    CVE-2015-1141 : Ole Andre Vadla Ravnas จาก www.frida.re

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจเป็นเหตุให้ระบบปฏิเสธการให้บริการได้

    คำอธิบาย: มีสภาวะการแย่งชิงในการเรียกระบบ setreuid ของเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1099: Mark Mentovai แห่ง Google Inc.

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: แอพพลิเคชั่นภายในอาจยกระดับสิทธิ์ โดยการใช้บริการที่ถูกเจาะระบบ ซึ่งมุ่งที่จะดำเนินการโดยลดสิทธิ์ลง

    คำอธิบาย: การเรียกระบบ setreuid และ setregid ล้มเหลวในการลดสิทธิ์อย่างถาวร ปัญหานี้ได้รับการแก้ไขแล้วโดยโดยการลดสิทธิ์อย่างถูกต้อง

    CVE-ID

    CVE-2015-1117: Mark Mentovai แห่ง Google Inc.

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถเปลี่ยนเส้นทางจราจรของผู้ใช้ไปยังโฮสต์โดยพลการ

    คำอธิบาย: การเปลี่ยนเส้นทาง ICMP ถูกเปิดใช้งานโดยค่าเริ่มต้นบน OS X ปัญหานี้ได้รับการแก้ไขแล้ว โดยการปิดใช้งานการเปลี่ยนเส้นทาง ICMP

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีความไม่สอดคล้องกันของสถานะในการประมวลผลส่วนหัวของ TCP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1102: Andrey Khudyakov และ Maxim Zhuravlev แห่ง Kaspersky Lab

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจเป็นเหตุให้เกิดการยุติระบบโดยไม่คาดคิด หรืออ่านหน่วยความจำเคอร์เนล

    คำอธิบาย: มีปัญหาในการเข้าถึงหน่วยความจำนอกขอบเขตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1100: Maxime Villard แห่ง m00nbsd

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถเลี่ยงตัวกรองเครือข่ายได้

    คำอธิบาย: ระบบอาจมองแพ็คเก็ต IPv6 บางแพ็คเก็ตจากอินเทอร์เฟซเครือข่ายระยะไกลเสมือนเป็นแพ็คเก็ตเฉพาะที่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปฏิเสธแพ็คเก็ตเหล่านี้

    CVE-ID

    CVE-2015-1104: Stephen Roettger แห่งทีมรักษาความปลอดภัยของ Google

  • เคอร์เนล

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1101: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจอาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาความไม่สอดคล้องกันของสถานะในการจัดการข้อมูล TCP ที่อยู่นอกแถบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1105: Kenton Varda แห่ง Sandstorm.io

  • LaunchServices

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจเป็นเหตุให้ Finder ทำงานผิดพลาด

    คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการจัดการข้อมูลการแปลแอพพลิเคชั่นของ LaunchServices ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบข้อมูลการแปลภาษาให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1142

  • LaunchServices

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาความสับสนของประเภทในการจัดการสตริงที่มีการแปลภาษาของ LaunchServices ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบขอบเขตเพิ่มเติม

    CVE-ID

    CVE-2015-1143: Apple

  • libnetcore

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การประมวลผลโปรไฟล์การกำหนดค่าที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การยุติแอพพลิเคชั่นโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการโปรไฟล์การกำหนดค่า ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1118: Zhaofeng Chen, Hui Xue, Yulong Zhang และ Tao Wei แห่ง FireEye, Inc.

  • ntp

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้โจมตีจากระยะไกลอาจบังคับใช้คีย์การรับรองความถูกต้อง ntpd

    คำอธิบาย: ฟังก์ชั่น config_auth ใน ntpd สร้างคีย์ที่ไม่ปลอดภัย เมื่อไม่มีการกำหนดค่าคีย์การรับรองความถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการสร้างคีย์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-9298

  • OpenLDAP

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ไคลเอนต์ระยะไกลที่ไม่มีการรับรองความถูกต้องอาจเป็นเหตุให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาจำนวนมากในการตรวจสอบอินพุตใน OpenLDAP ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1545: Ryan Tandy

    CVE-2015-1546: Ryan Tandy

  • OpenSSL

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ช่องโหว่จำนวนมากใน OpenSSL

    คำอธิบาย: มีช่องโหว่จำนวนมากใน OpenSSL 0.9.8zc รวมทั้งช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถสกัดกั้นการเชื่อมต่อไปยังเซิร์ฟเวอร์ที่สนับสนุน cipher เกรดส่งออก ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท OpenSSL เป็นเวอร์ชั่น 0.9.8zd

    CVE-ID

    CVE-2014-3569

    CVE-2014-3570

    CVE-2014-3571

    CVE-2014-3572

    CVE-2014-8275

    CVE-2015-0204

  • Open Directory Client

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: รหัสผ่านอาจถูกส่งผ่านเครือข่ายที่ไม่มีการเข้ารหัสเมื่อใช้ Open Directory จาก OS X Server

    คำอธิบาย: ถ้าไคลเอนต์ OS X Server ถูกผูกไว้กับ OS X Server แต่ไม่ได้ติดตั้งใบรับรองของ OS X Server และจากนั้นผู้ใช้ที่ไคลเอนต์นั้นมีการเปลี่ยนแปลงรหัสผ่านของตน คำขอเปลี่ยนรหัสผ่านจะถูกส่งผ่านเครือข่ายโดยไม่มีการเข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้ว โดยกำหนดให้ไคลเอนต์จำเป็นต้องมีการเข้ารหัสสำหรับกรณีนี้

    CVE-ID

    CVE-2015-1147: Apple

  • PHP

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ช่องโหว่จำนวนมากใน PHP

    คำอธิบาย: มีช่องโหว่จำนวนมากใน PHP ก่อนเวอร์ชั่น 5.3.29, 5.4.38 และ 5.5.20 รวมทั้งเวอร์ชั่นที่อาจนำไปสู่การใช้รหัสโดยอำเภอใจ การอัพเดทนี้จะแก้ไขปัญหาโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.3.29, 5.4.38 และ 5.5.20

    CVE-ID

    CVE-2013-6712

    CVE-2014-0207

    CVE-2014-0237

    CVE-2014-0238

    CVE-2014-2497

    CVE-2014-3478

    CVE-2014-3479

    CVE-2014-3480

    CVE-2014-3487

    CVE-2014-3538

    CVE-2014-3587

    CVE-2014-3597

    CVE-2014-3668

    CVE-2014-3669

    CVE-2014-3670

    CVE-2014-3710

    CVE-2014-3981

    CVE-2014-4049

    CVE-2014-4670

    CVE-2014-4698

    CVE-2014-5120

  • QuickLook

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การเปิดไฟล์ iWork ที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการไฟล์ iWork ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1098: Christopher Hickstein

  • SceneKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5

    ผลกระทบ: การดูไฟล์ Collada ที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการไฟล์ Collada ของ SceneKit การดูไฟล์ Collada ที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบองค์ประกอบตัวเข้าถึงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-8830: Jose Duart แห่งทีมรักษาความปลอดภัยของ Google

  • การใช้งานหน้าจอร่วมกัน

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: รหัสผ่านของผู้ใช้อาจถูกบันทึกไปยังไฟล์เฉพาะที่

    คำอธิบาย: ในบางสถานการณ์ การใช้งานหน้าจอร่วมกันอาจบันทึกรหัสผ่านของผู้ใช้ที่ไม่สามารถอ่านได้โดยผู้ใช้รายอื่นๆ ในระบบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำการบันทึกข้อมูลประจำตัวออก

    CVE-ID

    CVE-2015-1148: Apple

  • ความปลอดภัย - การเซ็นชื่อรหัส

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: แอพพลิเคชั่นที่มีการดัดแปลงอาจไม่ถูกห้ามไม่ให้เปิด

    คำอธิบาย: แอพพลิเคชั่นที่มีบันเดิลที่สร้างขึ้นเป็นพิเศษอาจสามารถเปิดทำงานได้ โดยไม่ต้องใช้ลายเซ็นที่ถูกต้องสมบูรณ์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่มการตรวจสอบเพิ่มเติม

    CVE-ID

    CVE-2015-1145

    CVE-2015-1146

  • UniformTypeIdentifiers

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นในวิธีที่ใช้จัดการ Uniform Type Identifier ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1144: Apple

  • WebKit

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.2

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน WebKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1069: lokihardt@ASRT ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

การอัพเดทความปลอดภัย 2015-004 (มีให้สำหรับ OS X Mountain Lion v10.8.5 และ OS X Mavericks v10.9.5) ยังแก้ไขปัญหาที่เกิดจากการแก้ไขสำหรับ CVE-2015-1067 ในการอัพเดทความปลอดภัย 2015-002 ปัญหานี้ขัดขวางไม่ให้ไคลเอนต์ของ Remote Apple Events ในเวอร์ชั่นใดก็ตามเชื่อมต่อกับเซิร์ฟเวอร์ Remote Apple Events ในการกำหนดค่าเริ่มต้น Remote Apple Events จะไม่ถูกเปิดใช้งาน

OS X Yosemite v10.10.3 รวมถึง เนื้อหาด้านความปลอดภัยของ Safari 8.0.5

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: