เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X Yosemite v10.10.5 และการอัพเดทความปลอดภัย 2015-006

เอกสารนี้จะอธิบายถึงเนื้อหาด้านความปลอดภัยของ OS X Yosemite v10.10.5 และการอัพเดทความปลอดภัย 2015-006

เพื่อเป็นการป้องกันลูกค้าของเรา Apple จะไม่เปิดเผย อภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียดและมีโปรแกรมปะแก้ที่จำเป็นหรือมีการวางจำหน่าย หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ การรักษาความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีการใช้คีย์ PGP เพื่อความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับการอัพเดทความปลอดภัยอื่นๆ โปรดดู  การอัพเดทความปลอดภัยของ Apple

OS X Yosemite v10.10.5 และการอัพเดทความปลอดภัย 2015-006

  • apache

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน Apache 2.4.16 ซึ่งในกรณีร้ายแรงที่สุดอาจเปิดโอกาสให้ผู้โจมตีระยะไกลปฏิเสธการให้บริการได้

    คำอธิบาย: มีช่องโหว่จำนวนมากใน Apache ก่อนเวอร์ชั่น 2.4.16 ซึ่งได้รับการแก้ไขโดยการอัพเดท Apache ให้เป็นเวอร์ชั่น 2.4.16

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน PHP 5.5.20 ซึ่งในกรณีที่ร้ายแรงที่สุดอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่จำนวนมากใน PHP ก่อนเวอร์ชั่น 5.5.20 ซึ่งได้รับการแก้ไขโดยการอัพเดท Apache ให้เป็นเวอร์ชั่น 5.5.27

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • ปลั๊กอิน Apple ID OD

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเปลี่ยนรหัสผ่านของผู้ใช้เฉพาะเครื่องได้

    คำอธิบาย: ในบางสถานการณ์ มีปัญหาเกี่ยวกับการจัดการสถานะในการตรวจสอบยืนยันรหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3799: นักวิจัยที่ไม่ระบุชื่อที่ทำงานร่วมกับ Zero Day Initiative ของ HP

  • AppleGraphicsControl

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาใน AppleGraphicsControl ซึ่งอาจทำให้เกิดการเปิดเผยเค้าโครงหน่วยความจำเคอร์เนลได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5768: JieTao Yang แห่ง KeenTeam

  • บลูทูธ

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOBluetoothHCIController ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3779: Teddy Reed แห่ง Facebook Security

  • บลูทูธ

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: ปัญหาการจัดการหน่วยความจำอาจทำให้เกิดการเปิดเผยเค้าโครงหน่วยความจำเคอร์เนลได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3780: Roberto Paleari และ Aristide Fattori แห่ง Emaze Networks

  • บลูทูธ

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพที่เป็นอันตรายอาจสามารถเข้าถึงการแจ้งจากอุปกรณ์ iCloud อื่นๆ

    คำอธิบาย: มีปัญหาที่แอพที่เป็นอันตรายสามารถเข้าถึงการแจ้งของศูนย์การแจ้งใน Mac หรืออุปกรณ์ iOS ที่จับคู่ผ่านบลูทูธ ผ่านศูนย์การแจ้งของ Apple ปัญหานี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ Handoff และเข้าสู่ระบบในบัญชี iCloud เดียวกัน ปัญหานี้ได้รับการแก้ไขโดยการเพิกถอนสิทธิ์การเข้าถึงบริการศูนย์การแจ้งของ Apple

    CVE-ID

    CVE-2015-3786 : Xiaolong Bai (มหาวิทยาลัย Tsinghua), System Security Lab (มหาวิทยาลัยอินเดียนา), Tongxin Li (มหาวิทยาลัย Peking), XiaoFeng Wang (มหาวิทยาลัยอินเดียนา)

  • บลูทูธ

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถโจมตีด้วยการปฏิเสธการให้บริการ โดยใช้แพ็คเก็ตบลูทูธที่มีรูปแบบผิดปกติ

    คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตในการแยกวิเคราะห์แพ็คเก็ต ACL ของบลูทูธ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3787: Trend Micro

  • บลูทูธ

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นจำนวนมากในการจัดการข้อความ XPC ของ blued ปัญหานี้ได้รับการแก้ไขโดยการปรับปรุงการตรวจสอบขอบเขต

    CVE-ID

    CVE-2015-3777: mitp0sh แห่ง [PDX]

  • bootp

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: เครือข่าย Wi-Fi ที่เป็นอันตรายอาจสามารถกำหนดเครือข่ายที่อุปกรณ์เข้าถึงก่อนหน้านี้

    คำอธิบาย: เมื่อเชื่อมต่อกับเครือข่าย Wi-Fi แล้ว iOS อาจกระจายข้อมูลที่อยู่ MAC ของเครือข่ายที่เข้าถึงก่อนหน้านี้ผ่านโปรโตคอล DNAv4 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งาน DNAv4 บนเครือข่าย Wi-Fi ที่ไม่ได้เข้ารหัส

    CVE-ID

    CVE-2015-3778: Piers O'Hanlon แห่งสถาบันอินเทอร์เน็ตออกซ์ฟอร์ด มหาวิทยาลัยออกซ์ฟอร์ด (ในโครงการ EPSRC Being There)

  • CloudKit

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเข้าถึงบันทึกของผู้ใช้ iCloud ของผู้ใช้ที่ลงชื่อเข้าใช้ก่อนหน้านี้

    คำอธิบาย: เกิดความไม่สอดคล้องกันของสถานะใน CloudKit เมื่อลงชื่อออกให้ผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3782 : Deepkanwal Plaha แห่งมหาวิทยาลัยโตรอนโต

  • CoreMedia Playback

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การดูไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน CoreMedia Playback ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5777: Apple

    CVE-2015-5778: Apple

  • CoreText

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team

  • curl

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน cURL และ libcurl ก่อนเวอร์ชั่น 7.38.0 ซึ่งหนึ่งในช่องโหว่ดังกล่าวอาจอนุญาตให้ผู้โจมตีระยะไกลสามารถเลี่ยงนโยบายต้นกำเนิดเดียวกัน (Same Origin Policy) ได้

    คำอธิบาย: มีช่องโหว่จำนวนมากใน cURL และ libcurl ก่อนเวอร์ชั่น 7.38.0 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท cURL ให้เป็นเวอร์ชั่น 7.43.0

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • โปรแกรมตัวตรวจจับข้อมูล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลลำดับของอักขระ Unicode อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลอักขระ Unicode ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5750: M1x7e1 แห่ง Safeye Team (www.safeye.org)

  • บานหน้าต่างการตั้งค่าวันที่และเวลา

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่ต้องอาศัยเวลาของระบบอาจมีลักษณะการทำงานที่ไม่คาดคิด

    คำอธิบาย: มีปัญหาการอนุญาตเมื่อปรับเปลี่ยนการตั้งค่าวันที่และเวลาของระบบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบการอนุญาตเพิ่มเติม

    CVE-ID

    CVE-2015-3757: Mark S C Smith

  • แอพพลิเคชั่นพจนานุกรม

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถสกัดกั้นคิวรีของแอพพจนานุกรมของผู้ใช้

    คำอธิบาย: มีปัญหาในแอพพจนานุกรมซึ่งรักษาความปลอดภัยในการสื่อสารของผู้ใช้อย่างไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการย้ายคิวรีของพจนานุกรมไปที่ HTTPS

    CVE-ID

    CVE-2015-3774: Jeffrey Paul แห่ง EEQJ, Jan Bee แห่ง Google Security Team

  • DiskImages

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์ DMG ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพ DMG ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3800: Frank Graziano แห่ง Yahoo Pentest Team 

  • dyld

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องของเส้นทางใน dyld ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3760 beist แห่ง grayhash, Stefan Esser

  • FontParser

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3804: Apple

    CVE-2015-5775: Apple

  • FontParser

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team

  • groff

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีปัญหาหลายอย่างใน pdfroff

    คำอธิบาย: มีปัญหาหลายอย่างใน pdfroff ซึ่งกรณีที่ร้ายแรงที่สุดอาจเปิดโอกาสให้มีการปรับเปลี่ยนระบบไฟล์ได้โดยอำเภอใจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการลบ pdfroff ออก

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลภาพ TIFF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลภาพ TIFF ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5758: Apple

  • ImageIO

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการเปิดเผยข้อมูลของหน่วยความจำกระบวนการ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานในการจัดการภาพ PNG และ TIFF ของ ImageIO การเยี่ยมชมเว็บไซต์ที่เป็นอันตรายอาจส่งผลให้เกิดการส่งข้อมูลจากหน่วยความจำกระบวนการไปยังเว็บไซต์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น และการตรวจสอบภาพ PNG และ TIFF เพิ่มเติม

    CVE-ID

    CVE-2015-5781: Michal Zalewski

    CVE-2015-5782: Michal Zalewski

  • Install Framework Legacy

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับรูทได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในวิธีการลดสิทธิ์ของไบนารี 'runner' ของ Install.framework ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสิทธิ์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5784: Ian Beer แห่ง Google Project Zero

  • Install Framework Legacy

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: เกิดสภาวะการแย่งชิงในไบนารี 'runner' ของ Install.framework ซึ่งทำให้สิทธิ์ถูกลดลงอย่างไม่ถูกต้อง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการล็อคออบเจ็กต์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5754: Ian Beer แห่ง Google Project Zero

  • IOFireWireFamily

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOFireWireFamily ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการตรวจสอบอินพุตประเภทเพิ่มเติม

    CVE-ID

    CVE-2015-3769: Ilja van Sprundel

    CVE-2015-3771: Ilja van Sprundel

    CVE-2015-3772: Ilja van Sprundel

  • IOGraphics

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOGraphics ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบอินพุตประเภทเพิ่มเติม

    CVE-ID

    CVE-2015-3770: Ilja van Sprundel

    CVE-2015-5783: Ilja van Sprundel

  • IOHIDFamily

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหามีบัฟเฟอร์ล้นใน IOHIDFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5774 : TaiG Jailbreak Team

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาในอินเทอร์เฟซ mach_port_space_info ซึ่งอาจทำให้เกิดการเปิดเผยเค้าโครงหน่วยความจำเคอร์เนลได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานอินเทอร์เฟซ mach_port_space_info

    CVE-ID

    CVE-2015-3766: Cererdlong แห่ง Alibaba Mobile Security Team, @PanguTeam

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการล้นของจำนวนเต็มในการจัดการฟังก์ชั่น IOKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอาร์กิวเมนต์ IOKit API ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3768: Ilja van Sprundel

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ

    คำอธิบาย: มีปัญหาทรัพยากรลดลงในไดรเวอร์ fasttrap ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5747: Maxime Villard แห่ง m00nbsd

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้เกิดการปฏิเสธการให้บริการของระบบ

    คำอธิบาย: มีปัญหาการตรวจสอบในการต่อเชื่อมไดรฟ์ HFS ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติม

    CVE-ID

    CVE-2015-5748: Maxime Villard แห่ง m00nbsd

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถรันรหัสที่ไม่ได้ลงชื่อ

    คำอธิบาย: มีปัญหาที่อนุญาตให้รหัสที่ไม่ได้ลงชื่อได้รับการผนวกเข้ากับรหัสที่ลงชื่อแล้วในไฟล์แบบรันได้ ซึ่งสร้างขึ้นเป็นพิเศษ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบลายเซ็นรหัสให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3806: TaiG Jailbreak Team

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ไฟล์แบบรันได้ซึ่งสร้างขึ้นเป็นพิเศษอาจอนุญาตให้ใช้รหัสที่เป็นอันตรายแต่ไม่ได้ลงชื่อ

    คำอธิบาย: มีปัญหาในวิธีการประเมินไฟล์แบบหลายสถาปัตยกรรมแบบรันได้ ที่อาจอนุญาตให้ใช้รหัสที่ไม่ได้ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบไฟล์แบบรันได้ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3803: TaiG Jailbreak Team

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่ไม่ได้ลงชื่อ

    คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการไฟล์ Mach-O ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบเพิ่มเติม

    CVE-ID

    CVE-2015-3802: TaiG Jailbreak Team

    CVE-2015-3805: TaiG Jailbreak Team

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์ Plist ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีหน่วยความจำเสียหายในการประมวลผล plist ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3776: Teddy Reed แห่ง Facebook Security, Patrick Stein (@jollyjinx) แห่ง Jinx Germany

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องของเส้นทาง ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3761: Apple

  • Libc

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลนิพจน์ปกติที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในไลบรารี TRE ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3796: Ian Beer แห่ง Google Project Zero

    CVE-2015-3797: Ian Beer แห่ง Google Project Zero

    CVE-2015-3798: Ian Beer แห่ง Google Project Zero

  • Libinfo

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการซ็อคเก็ต AF_INET6 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5776: Apple

  • libpthread

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในจัดการ syscall ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบสถานะการล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5757: Lufeng Li แห่ง Qihoo 360

  • libxml2

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน libxml2 ก่อนเวอร์ชั่น 2.9.2 ซึ่งในกรณีร้ายแรงที่สุดอาจเปิดโอกาสให้ผู้โจมตีระยะไกลปฏิเสธการให้บริการได้

    คำอธิบาย: มีช่องโหว่จำนวนมากใน libxml2 ก่อนเวอร์ชั่น 2.9.2 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท libxml2 ให้เป็นเวอร์ชั่น 2.9.2

    CVE-ID

    CVE-2012-6685: Felix Groebert แห่ง Google

    CVE-2014-0191: Felix Groebert แห่ง Google

  • libxml2

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำใน libxml2 ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-3660: Felix Groebert แห่ง Google

  • libxml2

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ไฟล์ XML ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3807: Apple

  • libxpc

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการข้อความ XPC ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการปรับปรุงโดยการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3795: Mathew Rowley

  • mail_cmds

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถรันคำสั่ง shell ได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบในการแยกวิเคราะห์ที่อยู่อีเมลของ mailx ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการดูแลให้ดียิ่งขึ้น

    CVE-ID

    CVE-2014-7844

  • ศูนย์การแจ้งของ OSX

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเข้าถึงการแจ้งทั้งหมดที่แสดงให้ผู้ใช้ดูก่อนหน้านี้

    คำอธิบาย: มีปัญหาในศูนย์การแจ้ง ซึ่งไม่ได้ลบการแจ้งผู้ใช้อย่างเหมาะสม ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบการแจ้งที่ผู้ใช้เพิกเฉยอย่างถูกต้อง

    CVE-ID

    CVE-2015-3764: Jonathan Zdziarski

  • ntfs

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน NTFS ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5763: Roberto Paleari และ Aristide Fattori แห่ง Emaze Networks

  • OpenSSH

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถหลีกเลี่ยงการหน่วงเวลาสำหรับความพยายามเข้าสู่ระบบที่ล้มเหลว และดำเนินการโจมตีผ่านการบังคับที่ร้ายแรง

    คำอธิบาย: เกิดปัญหาเมื่อประมวลผลอุปกรณ์ที่มีการโต้ตอบกับคีย์บอร์ด ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบคำขอการรับรองความถูกต้องให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน OpenSSL ก่อนเวอร์ชั่น 0.9.8zg ซึ่งในกรณีร้ายแรงที่สุดอาจเปิดโอกาสให้ผู้โจมตีระยะไกลปฏิเสธการให้บริการได้

    คำอธิบาย: มีช่องโหว่จำนวนมากใน OpenSSL ก่อนเวอร์ชั่น 0.9.8zg ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8zg

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์นิพจน์ปกติที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยแอพพลิเคชั่นที่หยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาจำนวนเต็มน้อยเกินไปในวิธีที่ Perl แยกวิเคราะห์นิพจน์ปกติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีอาจสามารถทำให้แอพลิเคชั่นหยุดโดยไม่คาดหมาย หรือสามารถเข้าถึงข้อมูลโดยไม่มีการรับรองความถูกต้องอย่างเหมาะสม

    คำอธิบาย: มีปัญหาหลายประการใน PostgreSQL 9.2.4 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท PostgreSQL ให้เป็นเวอร์ชั่น 9.2.13

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • Python

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน Python 2.7.6 ซึ่งในกรณีที่ร้ายแรงที่สุดอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่จำนวนมากใน Python 2.7.6 ก่อนเวอร์ชั่น 2.7.6 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท Python ให้เป็นเวอร์ชั่น 2.7.10

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์เอกสาร Office ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5773: Apple

  • QL Office

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาการอ้างอิงเอนทิตีภายนอกในการแยกวิเคราะห์ไฟล์ XML ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3784: Bruno Morisson แห่ง INTEGRITY S.A.

  • Quartz Composer Framework

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์ไฟล์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ไฟล์ QuickTime ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5771: Apple

  • Quick Look

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การค้นหาเว็บไซต์ที่ดูก่อนหน้าอาจเป็นการเปิดเว็บเบราว์เซอร์และแสดงผลเว็บไซต์นั้น

    คำอธิบาย: เกิดปัญหาที่ QuickLook สามารถรัน JavaScript ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการยกเลิกการอนุญาตการรัน JavaScript

    CVE-ID

    CVE-2015-3781: Andrew Pouliot แห่ง Facebook, Anto Loyola แห่ง Qubole

  • QuickTime 7

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายจำนวนมากใน QuickTime ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753: Apple

    CVE-2015-5779: Apple

  • QuickTime 7

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายจำนวนมากใน QuickTime ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3765: Joe Burnett แห่ง Audio Poison

    CVE-2015-3788: Ryan Pentney และ Richard Johnson แห่ง Cisco Talos

    CVE-2015-3789: Ryan Pentney และ Richard Johnson แห่ง Cisco Talos

    CVE-2015-3790: Ryan Pentney และ Richard Johnson แห่ง Cisco Talos

    CVE-2015-3791: Ryan Pentney และ Richard Johnson แห่ง Cisco Talos

    CVE-2015-3792: Ryan Pentney และ Richard Johnson แห่ง Cisco Talos

    CVE-2015-5751: WalkerFuz

  • SceneKit

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การดูไฟล์ Collada ที่ออกแบบมาเพื่อประสงค์ร้าย อาจนำไปสู่การใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นแบบพอกพูนในการจัดการไฟล์ Collada ของ SceneKit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5772: Apple

  • SceneKit

    มีให้สำหรับ: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน SceneKit ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3783: Haris Andrianakis แห่ง Google Security Team

  • ความปลอดภัย

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้ใช้ระดับมาตรฐานอาจสามารถเข้าถึงสิทธิ์ของผู้ดูแลระบบได้โดยไม่มีการรับรองความถูกต้องอย่างเหมาะสม

    คำอธิบาย: มีปัญหาในการจัดการการพิสูจน์ตัวตนของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการพิสูจน์ตัวตนให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3775: [Eldon Ahrold]

  • SMBClient

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในไคลเอนต์ SMB ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3773: Ilja van Sprundel

  • Speech UI

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์สตริง Unicode ที่ออกแบบมาเพื่อประสงค์ร้าย ซึ่งเปิดใช้งานการเตือนด้วยเสียงพูด อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการสตริง Unicode ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3794: Adam Greenbaum แห่ง Refinitive

  • sudo

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน sudo ก่อนเวอร์ชั่น 1.7.10p9 ซึ่งในกรณีร้ายแรงที่สุดอาจเปิดโอกาสให้ผู้โจมตีสามารถเข้าถึงไฟล์ได้โดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่จำนวนมากใน sudo ก่อนเวอร์ชั่น 1.7.10p9 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท sudo ให้เป็นเวอร์ชั่น 1.7.10p9

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: มีช่องโหว่จำนวนมากใน tcpdump 4.7.3 ซึ่งในกรณีร้ายแรงที่สุดอาจเปิดโอกาสให้ผู้โจมตีระยะไกลปฏิเสธการให้บริการได้

    คำอธิบาย: มีช่องโหว่จำนวนมากใน tcpdump ก่อนเวอร์ชั่น 4.7.3 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท tcpdump ให้เป็นเวอร์ชั่น 4.7.3

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • รูปแบบข้อความ

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การแยกวิเคราะห์ไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาการอ้างอิงเอนทิตีภายนอกแบบ XML ที่มีการแยกวิเคราะห์ TextEdit ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3762: Xiaoyong Wu แห่ง Evernote Security Team

  • udf

    มีให้สำหรับ: OS X Yosemite v10.10 ถึง v10.10.4

    ผลกระทบ: การประมวลผลไฟล์ DMG ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพ DMG ที่มีรูปแบบผิดปกติ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-3767: beist แห่ง grayhash

OS X Yosemite v10.10.5 ประกอบด้วยเนื้อหาด้านการรักษาความปลอดภัยของ Safari 8.0.8

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: