เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X El Capitan 10.11.1 รายการอัพเดทความปลอดภัย 2015-004 Yosemite และรายการอัพเดทความปลอดภัย 2015-007 Mavericks

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X El Capitan 10.11.1 รายการอัพเดทความปลอดภัย 2015-004 Yosemite และรายการอัพเดทความปลอดภัย 2015-007 Mavericks

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการดูข้อมูลเกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple

OS X El Capitan 10.11.1 รายการอัพเดทความปลอดภัย 2015-004 Yosemite และรายการอัพเดทความปลอดภัย 2015-007 Mavericks

  • Accelerate Framework

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน Accelerate Framework ในโหมดมัลติเธรด ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบองค์ประกอบตัวเข้าถึงให้ดียิ่งขึ้น และการปรับปรุงการล็อคออบเจ็กต์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5940: Apple

  • apache_mod_php

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: มีช่องโหว่จำนวนมากใน PHP

    คำอธิบาย: มีช่องโหว่จำนวนมากใน PHP ก่อนเวอร์ชั่น 5.5.29 และ 5.4.45 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.5.29 และ 5.4.45

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-6834

    CVE-2015-6835

    CVE-2015-6836

    CVE-2015-6837

    CVE-2015-6838

  • ATS

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การไปที่หน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน ATS ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6985: John Villamil (@day6reak), Yahoo Pentest Team

  • เสียง

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำที่ไม่ได้เตรียมใช้งานใน coreaudiod ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7003: Mark Brand จาก Google Project Zero

  • เสียง

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์เสียง ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5933: Apple

    CVE-2015-5934: Apple

  • Bom

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่แบบข้ามไฟล์ในการจัดการข้อมูลเก็บถาวรของ CPIO ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบเมตาดาต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7006: Mark Dowd จาก Azimuth Security

  • CFNetwork

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้คุกกี้ถูกบันทึกทับ

    คำอธิบาย: มีปัญหาการแยกวิเคราะห์เมื่อจัดการคุกกี้ที่มีตัวพิมพ์ของตัวอักษรแตกต่างกัน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7023: Marvin Scholz และ Michael Lutonsky; Xiaofeng Zheng และ Jinjin Liang จาก Tsinghua University, Jian Jiang จาก University of California, Berkeley, Haixin Duan จาก Tsinghua University และ International Computer Science Institute, Shuo Chen จาก Microsoft Research Redmond, Tao Wan จาก Huawei Canada, Nicholas Weaver จาก International Computer Science Institute และ University of California, Berkeley ซึ่งประสานงานผ่าน CERT/CC

  • configd

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

    คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนในไลบรารีไคลเอนต์ DNS แอพพลิเคชั่นที่ประสงค์ร้ายซึ่งสามารถเลียนแบบการตอบสนองจากบริการ configd ในระบบอาจทำให้มีการใช้รหัสโดยอำเภอใจในไคลเอนต์ DNS

    CVE-ID

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายใน CoreGraphics ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • CoreText

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6992: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    มีให้สำหรับ: OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6975: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7017: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreText

    มีให้สำหรับ: OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.5

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5944: John Villamil (@day6reak), Yahoo Pentest Team

  • ยูทิลิตี้ไดเรกทอรี

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับรากได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการรับรองความถูกต้องในระหว่างการสร้างเซสชั่นใหม่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6980: Michael จาก Westside Community Schools

  • ภาพดิสก์

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6995: Ian Beer จาก Google Project Zero

  • EFI

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: ผู้โจมตีสามารถใช้ฟังก์ชั่น EFI ที่ไม่ได้ใช้งานได้

    คำอธิบาย: มีปัญหาในการจัดการข้อโต้แย้ง EFI ปัญหานี้ได้รับการแก้ไขแล้วโดยการลบฟังก์ชั่นที่ได้รับผลกระทบออก

    CVE-ID

    CVE-2014-4860 : Corey Kallenberg, Xeno Kovah, John Butterworth และ Sam Cornwell จาก The MITRE Corporation ซึ่งประสานงานผ่าน CERT

  • ที่คั่นหน้าไฟล์

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: การเรียกดูโฟลเดอร์ที่มีรูปแบบที่คั่นหน้าไม่ถูกต้องอาจทำให้แอพพลิเคชั่นหยุดทำงานโดยไม่คาดคิด

    คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการแยกวิเคราะห์เมตาดาต้าของที่คั่นหน้า ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6987: Luca Todesco (@qwertyoruiop)

  • FontParser

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5927: Apple

    CVE-2015-5942

    CVE-2015-6976: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6977: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6978: Jaanus Kp, Clarified Security ที่ทำงานร่วมกับ Zero Day Initiative ของ HP

    CVE-2015-6991: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-6993: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7009: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7010: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7018: John Villamil (@day6reak), Yahoo Pentest Team

  • FontParser

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6990: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-7008: John Villamil (@day6reak), Yahoo Pentest Team

  • Grand Central Dispatch

    มีให้สำหรับ: OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลแพคเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการการเรียกเพื่อจัดส่ง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6989: Apple

  • ไดรเวอร์กราฟิก

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนล

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการอ่านเกินขอบเขตในไดรเวอร์กราฟิก NVIDIA ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7019: Ian Beer จาก Google Project Zero

    CVE-2015-7020: Moony Li จาก Trend Micro

  • ไดรเวอร์กราฟิก

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7021 : Moony Li จาก Trend Micro

  • ImageIO

    มีให้สำหรับ: OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.5

    ผลกระทบ: การประมวลผลไฟล์ภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการแยกวิเคราะห์เมตาดาต้าของอิมเมจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบเมตาดาต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5935: Apple

    CVE-2015-5938: Apple

  • ImageIO

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลไฟล์ภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการแยกวิเคราะห์เมตาดาต้าของอิมเมจ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบเมตาดาต้าให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6996: Ian Beer จาก Google Project Zero

  • IOHIDFamily

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • เคอร์เนล

    มีให้สำหรับ: OS X Yosemite v10.10.5

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาความสับสนเกี่ยวกับประเภทในการตรวจสอบงาน Mach ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบงาน Mach ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5932: Luca Todesco (@qwertyoruiop), Filippo Bigarella

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำที่ไม่ได้เตรียมใช้งานในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6988: The Brainy Code Scanner (m00nbsd)

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการบริการ

    คำอธิบาย: มีปัญหาเมื่อใช้หน่วยความจำเสมือนซ้ำ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6994: Mark Mentovai จาก Google Inc.

  • libarchive

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาภายในตรรกะการตรวจสอบเส้นทางสำหรับ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพเส้นทางให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6984: Christopher Crone จาก Infinit, Jonathan Schleifer

  • การจำกัดแอพพลิเคชั่น MCX

    มีให้สำหรับ: OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: โปรแกรมปฏิบัติงานที่ลงชื่อโดยนักพัฒนาอาจได้รับสิทธิ์แบบจำกัด

    คำอธิบาย: มีปัญหาในการตรวจสอบสิทธิ์ในการกำหนดค่าแบบมีการจัดการ แอพที่ลงชื่อโดยนักพัฒนาอาจสามารถเลี่ยงข้อจำกัดในการใช้สิทธิ์แบบจำกัด และยกระดับสิทธิ์ได้ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบ Provisioning Profile ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7016: Apple

  • mDNSResponder

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในการแยกวิเคราะห์ข้อมูล DNS ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7987: Alexandre Helie

  • mDNSResponder

    มีให้สำหรับ: OS X El Capitan v10.11

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการบริการ

    คำอธิบาย: ปัญหาช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7988: Alexandre Helie

  • Net-SNMP

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาหลายประการใน netsnmp เวอร์ชั่น 5.6 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการใช้แพตช์ที่มีผลต่อ OS X จากต้นทาง

    CVE-ID

    CVE-2012-6151

    CVE-2014-3565

  • OpenGL

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน OpenGL ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5924: Apple

  • OpenSSH

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำการโจมตีโดยการปลอมตัวได้

    คำอธิบาย: มีปัญหาในการแยกสิทธิพิเศษในการรองรับ PAM ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6563: Moritz Jodeit จาก Blue Frost Security GmbH

  • Sandbox

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตในระหว่างจัดการพารามิเตอร์ NVRAM ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-5945: Rich Trouton (@rtrouton), Howard Hughes Medical Institute, Apple

  • Script Editor

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: ผู้โจมตีอาจลวงผู้ใช้ให้เรียกใช้งาน AppleScript โดยอำเภอใจ

    คำอธิบาย: ในบางสถานการณ์ Script Editor ไม่ได้ขอการยืนยันจากผู้ใช้ก่อนใช้งาน AppleScript ปัญหานี้ได้รับการแก้ไขแล้วโดยแจ้งการยืนยันจากผู้ใช้ก่อนใช้งาน AppleScript

    CVE-ID

    CVE-2015-7007: Joe Vennix

  • ความปลอดภัย

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan 10.11

    ผลกระทบ: สามารถใช้ไบนารีที่ลงชื่อโดย Apple เพื่อโหลดไฟล์ได้โดยอำเภอใจ

    คำอธิบาย: โปรแกรมปฏิบัติงานบางตัวที่ลงชื่อโดย Apple โหลดแอพพลิเคชั่นจากตำแหน่งที่ตั้งที่เกี่ยวข้อง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบเพิ่มเติมใน Gatekeeper

    CVE-ID

    CVE-2015-7024: Patrick Wardle จาก Synack

  • ความปลอดภัย

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับหน่วยความจำเสียหายในตัวถอดรหัส ASN.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7059: David Keeler จาก Mozilla

    CVE-2015-7060: Tyson Smith จาก Mozilla

    CVE-2015-7061: Ryan Sleevi จาก Google

  • ความปลอดภัย

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหา Double Free ในการจัดการตัวอธิบาย AtomicBufferedFile ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบตัวอธิบาย AtomicBufferedFile ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-6983: David Benjamin, Greg Kerr, Mark Mentovai และ Sergey Ulanov จาก Chrome Team

  • SecurityAgent

    มีให้สำหรับ: OS X El Capitan 10.11

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายสามารถควบคุมข้อความแจ้งการเข้าถึงพวงกุญแจตามที่โปรแกรมไว้ได้

    คำอธิบาย: มีวิธีการสำหรับแอพพลิเคชั่นในการสร้างการคลิกแบบสังเคราะห์บนข้อความแจ้งของพวงกุญแจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานการคลิกแบบสังเคราะห์สำหรับหน้าต่างการเข้าถึงพวงกุญแจ

    CVE-ID

    CVE-2015-5943

OS X El Capitan v10.11.1 มีเนื้อหาด้านความปลอดภัยของ Safari 9.0.1

ขอแนะนำผู้ใช้ทุกท่านใช้รายการอัพเดทความปลอดภัย 2015-004 และ 2015-007 และปรับปรุงความปลอดภัยของ OS X ให้ดียิ่งขึ้น

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: