เกี่ยวกับเนื้อหาด้านความปลอดภัยของ OS X El Capitan 10.11.2, รายการอัพเดทความปลอดภัย 2015-005 Yosemite และรายการอัพเดทความปลอดภัย 2015-008 Mavericks
เอกสารนี้จะอธิบายเนื้อหาด้านความปลอดภัยของ OS X El Capitan 10.11.2, รายการอัพเดทความปลอดภัย 2015-005 Yosemite และรายการอัพเดทความปลอดภัย 2015-008 Mavericks
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการดูเพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple
สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ
หากต้องการดูข้อมูลเกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple
OS X El Capitan 10.11.2, รายการอัพเดทความปลอดภัย 2015-005 Yosemite และรายการอัพเดทความปลอดภัย 2015-008 Mavericks
apache_mod_php
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ช่องโหว่หลายจุดใน PHP
คำอธิบาย: มีช่องโหว่หลายจุดใน PHP เวอร์ชั่นก่อน 5.5.29 ซึ่งในกรณีร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสระยะไกล ปัญหานี้แก้ได้ด้วยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.5.30
CVE-ID
CVE-2015-7803
CVE-2015-7804
AppSandbox
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจคงการเข้าถึงแอพรายชื่อเอาไว้หลังจากที่ได้เพิกถอนการเข้าถึงไปแล้ว
คำอธิบาย: มีปัญหาในการจัดการฮาร์ดลิงก์ของ Sandbox ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการปิดช่องโหว่ของ Sandbox ของแอพให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7001: Razvan Deaconescu และ Mihai Bucicoiu จาก University POLITEHNICA ใน Bucharest; Luke Deshotels และ William Enck จาก North Carolina State University; Lucas Vincenzo Davi และ Ahmad-Reza Sadeghi จาก TU Darmstadt
Bluetooth
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในอินเทอร์เฟซ Bluetooth HCI ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7108 : Ian Beer จาก Google Project Zero
CFNetwork HTTPProtocol
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถหลีกเลี่ยง HSTS ได้
คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตภายในการประมวลผล URL ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7094 : Tsubasa Iinuma (@llamakko_cafe) จาก Gehirn Inc. และ Muneaki Nishimura (nishimunea)
การบีบอัด
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาการเข้าถึงหน่วยความจำที่ไม่ได้เตรียมใช้งานใน zlib ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเตรียมใช้งานหน่วยความจำให้ดียิ่งขึ้น และการตรวจสอบสตรีม Zlib เพิ่มเติม
CVE-ID
CVE-2015-7054: j00ru
โปรไฟล์การกำหนดค่า
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถติดตั้งโปรไฟล์การกำหนดค่าโดยไม่ต้องใช้สิทธิ์ผู้ดูแลระบบ
คำอธิบาย: มีปัญหาเกิดขึ้นเมื่อติดตั้งโปรไฟล์การกำหนดค่า ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7062 : David Mulder จาก Dell Software
CoreGraphics
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-ID
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการประมวลผลไฟล์สื่อที่มีรูปแบบผิดปกติ ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7074 : Apple
CVE-2015-7075
ดิสก์อิมเมจ
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ดิสก์อิมเมจ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7110 : Ian Beer จาก Google Project Zero
EFI
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องของเส้นทางในตัวโหลดเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7063 : Apple
ที่คั่นหน้าไฟล์
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องของเส้นทางในที่คั่นหน้าแอพที่อยู่ในระยะ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการดูแลสภาพแวดล้อมให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7071 : Apple
Hypervisor
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาช่องโหว่ Use-after-free ในการจัดการออบเจ็กต์ VM ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7078 : Ian Beer จาก Google Project Zero
iBooks
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: มีปัญหาการอ้างอิงเอนทิตีภายนอกแบบ XML ที่มีการแยกวิเคราะห์ iBooks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการแยกวิเคราะห์ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7081 : Behrouz Sadeghipour (@Nahamsec) และ Patrik Fehrenbach (@ITSecurityguard)
ImageIO
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำความเสียหายใน ImageIO ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7053: Apple
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: ปัญหาภัยคุกคามแบบ Null Pointer Dereference ได้รับการจัดการแล้วโดยการปรับปรุงการตรวจสอบอินพุต
CVE-ID
CVE-2015-7076 : Juwei Lin จาก TrendMicro, beist และ ABH จาก BoB และ JeongHoon Shin@A.D.D
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในไดรเวอร์กราฟิกของ Intel ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7106 : Ian Beer จาก Google Project Zero, Juwei Lin แห่ง TrendMicro, beist และ ABH จาก BoB และ JeongHoon Shin@A.D.D
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาหน่วยความจำนอกระบบในไดรเวอร์กราฟิกของ Intel ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7077 : Ian Beer จาก Google Project Zero
IOAcceleratorFamily
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายใน IOAcceleratorFamily ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7109 : Juwei Lin จาก TrendMicro
IOHIDFamily
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน IOHIDFamily API ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7111: beist และ ABH จาก BoB
CVE-2015-7112: Ian Beer จาก Google Project Zero
IOKit SCSI
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจพร้อมสิทธิ์เคอร์เนล
คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ userclient บางประเภท ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7068 : Ian Beer จาก Google Project Zero
IOThunderboltFamily
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: มีช่องโหว่แบบ Null Pointer Dereference ในการจัดการ userclient บางประเภทของ IOAcceleratorFamily ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบบริบทของ IOAcceleratorFamily ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7067 : Juwei Lin จาก TrendMicro
เคอร์เนล
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจทำให้เกิดการปฏิเสธการบริการ
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7040: Lufeng Li จาก Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li จาก Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li จาก Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
เคอร์เนล
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7083: Ian Beer จาก Google Project Zero
CVE-2015-7084: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ข้อความ Mach ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบข้อความ Mach ให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7047: Ian Beer จาก Google Project Zero
kext tools
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาการตรวจสอบความถูกต้องในระหว่างการโหลดส่วนขยายเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบความถูกต้องเพิ่มเติม
CVE-ID
CVE-2015-7052 : Apple
การเข้าถึง Keychain
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถพรางเป็น Keychain Server
คำอธิบาย: มีปัญหาในวิธีที่ Keychain Access โต้ตอบกับ Keychain Agent ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำฟังก์ชั่นเก่าๆ ออก
CVE-ID
CVE-2015-7045 : Luyi Xing และ XiaoFeng Wang จาก Indiana University Bloomington, Xiaolong Bai จาก Indiana University Bloomington และ Tsinghua University, Tongxin Li จาก Peking University, Kai Chen จาก Indiana University Bloomington และ Institute of Information Engineering, Xiaojing Liao จาก Georgia Institute of Technology, Shi-Min Hu จาก Tsinghua University และ Xinhui Han จาก Peking University
libarchive
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์เก็บถาวร ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2011-2895: @practicalswift
libc
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การประมวลผลแพคเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีบัฟเฟอร์ล้นจำนวนมากในไลบรารีภาษา C มาตรฐาน ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7038 : Brian D. Wells จาก E. W. Scripps, Narayan Subramanian จาก Symantec Corporation/Veritas LLC
CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)
อัพเดทรายการเมื่อวันที่ 3 มีนาคม 2017
libexpat
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: มีช่องโหว่หลายจุดใน expat
คำอธิบาย: มีช่องโหว่หลายจุดใน expat เวอร์ชั่นก่อน 2.1.0 และสามารถแก้ไขได้โดยอัพเดท expat เป็นเวอร์ชั่น 2.1.0
CVE-ID
CVE-2012-0876 : Vincent Danen
CVE-2012-1147 : Kurt Seifried
CVE-2012-1148 : Kurt Seifried
libxml2
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ไฟล์ XML ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7115 : Wei Lei และ Liu Yang จาก Nanyang Technological University
CVE-2015-7116 : Wei Lei และ Liu Yang จาก Nanyang Technological University
OpenGL
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน OpenGL ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7064 : Apple
CVE-2015-7065 : Apple
CVE-2015-7066 : Tongbo Luo และ Bo Qu จาก Palo Alto Networks
OpenLDAP
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ไคลเอ็นต์ระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์อาจทำให้เกิดการปฏิเสธการบริการ
คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตใน OpenLDAP ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-ID
CVE-2015-6908
OpenSSH
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: มีช่องโหว่หลายจุดใน LibreSSL
คำอธิบาย: มีช่องโหว่หลายจุดใน LibreSSL เวอร์ชั่นก่อน 2.1.8 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท LibreSSL ให้เป็นเวอร์ชั่น 2.1.8
CVE-ID
CVE-2015-5333
CVE-2015-5334
QuickLook
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: การเปิดไฟล์ iWork ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาความเสียหายของหน่วยความจำในการจัดการไฟล์ iWork ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7107
Sandbox
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถเลี่ยงการสุ่มตำแหน่งเค้าโครงพื้นที่ว่างของที่อยู่เคอร์เนลได้
คำอธิบาย: มีปัญหาการแบ่งสิทธิ์ไม่เพียงพอใน xnu ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7046: Apple
ความปลอดภัย
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการ SSL handshake ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7073: Benoit Foucher จาก ZeroC, Inc.
ความปลอดภัย
มีให้สำหรับ: OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.5
ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในตัวถอดรหัส ASN.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7059: David Keeler จาก Mozilla
CVE-2015-7060: Tyson Smith จาก Mozilla
CVE-2015-7061: Ryan Sleevi จาก Google
ความปลอดภัย
มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถเข้าถึงรายการพวงกุญแจของผู้ใช้
คำอธิบาย: มีปัญหาในการตรวจสอบรายการควบคุมการเข้าถึงสำหรับรายการพวงกุญแจ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบรายการควบคุมการเข้าถึงให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7058
การปกป้องความสมบูรณ์ของระบบ
มีให้สำหรับ: OS X El Capitan v10.11 และ v10.11.1
ผลกระทบ:แอพพลิเคชั่นประสงค์ร้ายที่มีสิทธิ์ในระดับรูทอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาสิทธิ์ในการจัดการการเชื่อมต่อให้สอดคล้องกัน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น
CVE-ID
CVE-2015-7044 : MacDefender
หมายเหตุ
แนะนำให้ผู้ใช้ทุกคนใช้รายการอัพเดทความปลอดภัย 2015-005 และ 2015-008 ซึ่งจะพัฒนาความปลอดภัยของ OS X หลังจากติดตั้งรายการอัพเดทนี้ ปลั๊กอินเว็บเบราเซอร์ QuickTime 7 จะไม่เปิดใช้เป็นค่าเริ่มต้นอีกต่อไป ดูสิ่งที่ควรทำ หากคุณยังต้องการปลั๊กอินเวอร์ชั่นเดิมนี้
OS X El Capitan v10.11.2 มีเนื้อหาด้านความปลอดภัยของ Safari 9.0.2
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม