เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X El Capitan 10.11.2, รายการอัพเดทความปลอดภัย 2015-005 Yosemite และรายการอัพเดทความปลอดภัย 2015-008 Mavericks

เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ OS X El Capitan 10.11.2, รายการอัพเดทความปลอดภัย 2015-005 Yosemite และรายการอัพเดทความปลอดภัย 2015-008 Mavericks

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการดูข้อมูลเกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple

OS X El Capitan 10.11.2, รายการอัพเดทความปลอดภัย 2015-005 Yosemite และรายการอัพเดทความปลอดภัย 2015-008 Mavericks

  • apache_mod_php

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ช่องโหว่หลายจุดใน PHP

    คำอธิบาย: มีช่องโหว่หลายจุดใน PHP เวอร์ชั่นก่อน 5.5.29 ซึ่งในกรณีร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสระยะไกล ปัญหานี้แก้ได้ด้วยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.5.30

    CVE-ID

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจคงการเข้าถึงแอพรายชื่อเอาไว้หลังจากที่ได้เพิกถอนการเข้าถึงไปแล้ว

    คำอธิบาย: มีปัญหาในการจัดการฮาร์ดลิงก์ของ Sandbox ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการปิดช่องโหว่ของ Sandbox ของแอพให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7001: Razvan Deaconescu และ Mihai Bucicoiu จาก University POLITEHNICA ใน Bucharest; Luke Deshotels และ William Enck จาก North Carolina State University; Lucas Vincenzo Davi และ Ahmad-Reza Sadeghi จาก TU Darmstadt

  • Bluetooth

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในอินเทอร์เฟซ Bluetooth HCI ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7108 : Ian Beer จาก Google Project Zero

  • CFNetwork HTTPProtocol

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถหลีกเลี่ยง HSTS ได้

    คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตภายในการประมวลผล URL ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) จาก Gehirn Inc. และ Muneaki Nishimura (nishimunea)

  • การบีบอัด

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานใน zlib ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น และการตรวจสอบสตรีม Zlib เพิ่มเติม

    CVE-ID

    CVE-2015-7054: j00ru

  • โปรไฟล์การกำหนดค่า

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้โจมตีในระบบอาจสามารถติดตั้งโปรไฟล์การกำหนดค่าโดยไม่ต้องใช้สิทธิ์ผู้ดูแลระบบ

    คำอธิบาย: มีปัญหาเกิดขึ้นเมื่อติดตั้งโปรไฟล์การกำหนดค่า ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7062 : David Mulder จาก Dell Software

  • CoreGraphics

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการประมวลผลไฟล์สื่อที่มีรูปแบบผิดปกติ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7074 : Apple

    CVE-2015-7075

  • ดิสก์อิมเมจ

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ดิสก์อิมเมจ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7110 : Ian Beer จาก Google Project Zero

  • EFI

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องของเส้นทางในตัวโหลดเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7063 : Apple

  • ที่คั่นหน้าไฟล์

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

    คำอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องของเส้นทางในที่คั่นหน้าแอพที่อยู่ในระยะ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7071 : Apple

  • Hypervisor

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาช่องโหว่ Use-after-free ในการจัดการออบเจ็กต์ VM ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7078 : Ian Beer จาก Google Project Zero

  • iBooks

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาการอ้างอิงเอนทิตีภายนอกแบบ XML ที่มีการแยกวิเคราะห์ iBooks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) และ Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน ImageIO ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7053: Apple

  • ไดรเวอร์กราฟิกของ Intel

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: ปัญหาภัยคุกคามแบบ Null Pointer Dereference ได้รับการจัดการแล้วโดยการปรับปรุงการตรวจสอบอินพุต

    CVE-ID

    CVE-2015-7076 : Juwei Lin จาก TrendMicro, beist และ ABH จาก BoB และ JeongHoon Shin@A.D.D

  • ไดรเวอร์กราฟิกของ Intel

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในไดรเวอร์กราฟิกของ Intel ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7106 : Ian Beer จาก Google Project Zero, Juwei Lin แห่ง TrendMicro, beist และ ABH จาก BoB และ JeongHoon Shin@A.D.D

  • ไดรเวอร์กราฟิกของ Intel

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำนอกระบบในไดรเวอร์กราฟิกของ Intel ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7077 : Ian Beer จาก Google Project Zero

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOAcceleratorFamily ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7109 : Juwei Lin จาก TrendMicro

  • IOHIDFamily

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน IOHIDFamily API ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7111: beist และ ABH จาก BoB

    CVE-2015-7112: Ian Beer จาก Google Project Zero

  • IOKit SCSI

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์เคอร์เนล

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ userclient บางประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7068 : Ian Beer จาก Google Project Zero

  • IOThunderboltFamily

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปฏิเสธการให้บริการได้

    คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ userclient บางประเภทของ IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบบริบทของ IOAcceleratorFamily ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7067 : Juwei Lin จาก TrendMicro

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจทำให้เกิดการปฏิเสธการบริการ

    คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7040: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7083: Ian Beer จาก Google Project Zero

    CVE-2015-7084: Ian Beer จาก Google Project Zero

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ข้อความ Mach ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบข้อความ Mach ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7047: Ian Beer จาก Google Project Zero

  • kext tools

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องในระหว่างการโหลดส่วนขยายเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบความถูกต้องเพิ่มเติม

    CVE-ID

    CVE-2015-7052 : Apple

  • การเข้าถึง Keychain

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถพรางเป็น Keychain Server

    คำอธิบาย: มีปัญหาในวิธีที่ Keychain Access โต้ตอบกับ Keychain Agent ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำฟังก์ชั่นเก่าๆ ออก

    CVE-ID

    CVE-2015-7045 : Luyi Xing และ XiaoFeng Wang จาก Indiana University Bloomington, Xiaolong Bai จาก Indiana University Bloomington และ Tsinghua University, Tongxin Li จาก Peking University, Kai Chen จาก Indiana University Bloomington และ Institute of Information Engineering, Xiaojing Liao จาก Georgia Institute of Technology, Shi-Min Hu จาก Tsinghua University และ Xinhui Han จาก Peking University

  • libarchive

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์เก็บถาวร ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2011-2895: @practicalswift

  • libc

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การประมวลผลแพคเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากในไลบรารีภาษา C มาตรฐาน ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7038 : Brian D. Wells จาก E. W. Scripps,  Narayan Subramanian จาก Symantec Corporation/Veritas LLC

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    อัพเดทรายการเมื่อวันที่ 3 มีนาคม 2017
  • libexpat

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: มีช่องโหว่หลายจุดใน expat

    คำอธิบาย: มีช่องโหว่หลายจุดใน expat เวอร์ชั่นก่อน 2.1.0 และสามารถแก้ไขได้โดยอัพเดท expat เป็นเวอร์ชั่น 2.1.0

    CVE-ID

    CVE-2012-0876 : Vincent Danen

    CVE-2012-1147 : Kurt Seifried

    CVE-2012-1148 : Kurt Seifried

  • libxml2

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ไฟล์ XML ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7115 : Wei Lei และ Liu Yang จาก Nanyang Technological University

    CVE-2015-7116 : Wei Lei และ Liu Yang จาก Nanyang Technological University

  • OpenGL

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน OpenGL ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7064 : Apple

    CVE-2015-7065 : Apple

    CVE-2015-7066 : Tongbo Luo และ Bo Qu จาก Palo Alto Networks

  • OpenLDAP

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ไคลเอ็นต์ระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์อาจทำให้เกิดการปฏิเสธการบริการ

    คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตใน OpenLDAP ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2015-6908

  • OpenSSH

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: มีช่องโหว่หลายจุดใน LibreSSL

    คำอธิบาย: มีช่องโหว่หลายจุดใน LibreSSL เวอร์ชั่นก่อน 2.1.8 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท LibreSSL ให้เป็นเวอร์ชั่น 2.1.8

    CVE-ID

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: การเปิดไฟล์ iWork ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการไฟล์ iWork ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7107

  • Sandbox

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถเลี่ยงการสุ่มตำแหน่งเค้าโครงพื้นที่ว่างของที่อยู่เคอร์เนลได้

    คำอธิบาย: มีปัญหาการแบ่งสิทธิ์ไม่เพียงพอใน xnu ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7046: Apple

  • ความปลอดภัย

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการ SSL handshake ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7073: Benoit Foucher จาก ZeroC, Inc.

  • ความปลอดภัย

    มีให้สำหรับ: OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.5

    ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในตัวถอดรหัส ASN.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7059: David Keeler จาก Mozilla

    CVE-2015-7060: Tyson Smith จาก Mozilla

    CVE-2015-7061: Ryan Sleevi จาก Google

  • ความปลอดภัย

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถเข้าถึงรายการพวงกุญแจของผู้ใช้

    คำอธิบาย: มีปัญหาในการตรวจสอบรายการควบคุมการเข้าถึงสำหรับรายการพวงกุญแจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบรายการควบคุมการเข้าถึงให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7058

  • การปกป้องความสมบูรณ์ของระบบ

    มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1

    ผลกระทบ:แอพพลิเคชั่นประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

    คำอธิบาย: มีปัญหาสิทธิ์ในการจัดการการเชื่อมต่อให้สอดคล้องกัน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-7044 : MacDefender

หมายเหตุ

  • แนะนำให้ผู้ใช้ทุกคนใช้รายการอัพเดทความปลอดภัย 2015-005 และ 2015-008 ซึ่งจะพัฒนาความปลอดภัยของ OS X หลังจากติดตั้งรายการอัพเดทนี้ ปลั๊กอินเว็บเบราเซอร์ QuickTime 7 จะไม่เปิดใช้เป็นค่าเริ่มต้นอีกต่อไป ดูสิ่งที่ควรทำ หากคุณยังต้องการปลั๊กอินเวอร์ชั่นเดิมนี้

  • OS X El Capitan v10.11.2 มีเนื้อหาด้านความปลอดภัยของ Safari 9.0.2

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: