OS X El Capitan 10.11.2 güvenlik içeriği, Yosemite Güvenlik Güncellemesi 2015-005 ve Mavericks Güvenlik Güncellemesi 2015-008 hakkında

Bu belgede OS X El Capitan 10.11.2 güvenlik içeriği, Yosemite Güvenlik Güncellemesi 2015-005 ve Mavericks Güvenlik Güncellemesi 2015-008 hakkında açıklama yapılmaktadır.

Apple, müşterilerimizi korumak amacıyla, tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olan durumlarda, daha detaylı bilgi amacıyla güvenlik açıklarından bahsedilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

OS X El Capitan 10.11.2, Yosemite Güvenlik Güncellemesi 2015-005 ve Mavericks Güvenlik Güncellemesi 2015-008

  • apache_mod_php

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: PHP'de birden çok güvenlik açığı

    Açıklama: 5.5.29'dan önceki PHP sürümlerinde, en ciddi olanı uzaktan kod yürütmeye neden olan birden çok güvenlik açığı vardı. Sorunlar PHP 5.5.30 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlı bir uygulama, erişimi iptal edildikten sonra Kişiler'e erişmeye devam edebilir

    Açıklama: Korumalı alanın sabit bağlantıları işlemesinde sorun vardı. Bu sorun uygulama koruma alanının güçlendirmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7001: Bükreş POLITEHNICA Üniversitesi'nden Razvan Deaconescu ve Mihai Bucicoiu; North Carolina Devlet Üniversitesi'nden Luke Deshotels ve William Enck; Darmstadt Teknik Üniversitesi'nden Lucas Vincenzo Davi ve Ahmad-Reza Sadeghi

  • Bluetooth

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bluetooth HCI arabiriminde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7108: Google Project Zero'dan Ian Beer

  • CFNetwork HTTPProtocol

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan HSTS'yi atlayabilir

    Açıklama: URL işlemede girdi doğrulama sorunu vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7094: Muneaki Nishimura (nishimunea) ve Gehirn Inc.'den Tsubasa Iinuma (@llamakko_cafe)

  • Sıkıştırma

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: zlib'de sıfırlanmamış bellek erişimi sorunu vardı. Bu sorun bellek sıfırlaması iyileştirilerek ve zlib akışlarına ek doğrulama getirilerek giderildi.

    CVE kimliği

    CVE-2015-7054: j00ru

  • Konfigürasyon Profilleri

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir saldırgan yönetici ayrıcalıklarına sahip olmadan konfigürasyon profili yükleyebilir

    Açıklama: Konfigürasyon profillerinin yüklenmesinde sorun vardı. Bu sorun yetkilendirme denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7062: Dell Software'den David Mulder

  • CoreGraphics

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Ekibi

  • CoreMedia Oynatma

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Hatalı ortam dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7074: Apple

    CVE-2015-7075

  • Disk Görüntüleri

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Disk görüntülerinin ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7110: Google Project Zero'dan Ian Beer

  • EFI

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek yükleyicide yol doğrulama sorunu vardı. Bu sorun ortam temizliği iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7063: Apple

  • Dosya Yer İşareti

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Korumalı alandaki bir işlem korumalı alan sınırlamalarını atlayabilir

    Açıklama: Uygulama kapsamındaki yer işaretlerinde yol doğrulama sorunu vardı. Bu sorun ortam temizliği iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7071: Apple

  • Hypervisor

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: VM nesnelerinin işlenmesinde 'serbest bıraktıktan sonra kullanma' sorunu vardı. Bu sorun bellek işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7078: Google Project Zero'dan Ian Beer

  • iBooks

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: iBook ayrıştırmada bir XML harici varlık referansı sorunu vardı. Bu sorun ayrıştırma işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) ve Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütmeye neden olabilir

    Açıklama: ImageIO'da bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7053: Apple

  • Intel Grafik Sürücüsü

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Null işaretçi başvurusu sorunu girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7076: TrendMicro'dan Juwei Lin, BoB'den beist ile ABH ve JeongHoon Shin@A.D.D

  • Intel Grafik Sürücüsü

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Intel Grafik Sürücüsü'nde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7106: Google Project Zero'dan Ian Beer, TrendMicro'dan Juwei Lin BoB'den beist ile ABH ve JeongHoon Shin@A.D.D

  • Intel Grafik Sürücüsü

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Intel Grafik Sürücüsü'nde bellek sınırları dışına erişim sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7077: Google Project Zero'dan Ian Beer

  • IOAcceleratorFamily

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7109: TrendMicro'dan Juwei Lin

  • IOHIDFamily

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily API'de birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7111: BoB'den beist ve ABH

    CVE-2015-7112: Google Project Zero'dan Ian Beer

  • IOKit SCSI

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Belirli kullanıcı istemcisi türlerinin işlenmesinde null işaretçi başvurusu vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7068: Google Project Zero'dan Ian Beer

  • IOThunderboltFamily

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

    Açıklama: IOThunderboltFamily'nin belirli kullanıcı istemcisi türlerini işlemesinde null işaretçi başvurusu vardı. Bu sorun IOThunderboltFamily bağlamları için doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7067: TrendMicro'dan Juwei Lin

  • Çekirdek

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel Bir uygulama, servis reddine neden olabilir

    Açıklama: Birden çok servis reddi sorunu bellek işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7040: Qihoo 360 Vulcan Ekibi'nden Lufeng Li

    CVE-2015-7041: Qihoo 360 Vulcan Ekibi'nden Lufeng Li

    CVE-2015-7042: Qihoo 360 Vulcan Ekibi'nden Lufeng Li

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Çekirdek

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7083: Google Project Zero'dan Ian Beer

    CVE-2015-7084: Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Mach mesajlarının ayrıştırılmasında sorun vardı. Bu sorun mach mesajlarının doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7047: Google Project Zero'dan Ian Beer

  • kext araçları

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdek uzantılarının yüklenmesi sırasında doğrulama sorunu vardı. Bu sorun ek doğrulamalarla giderildi.

    CVE kimliği

    CVE-2015-7052: Apple

  • Anahtar Zinciri Erişimi

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlı bir uygulama kendini Anahtar Zinciri Sunucusu olarak gösterebilir.

    Açıklama: Anahtar Zinciri Erişimi'nin Anahtar Zinciri Aracısı ile etkileşimde bulunma biçiminde sorun vardı. Bu sorun, eski işlev kaldırılarak giderildi.

    CVE kimliği

    CVE-2015-7045: Bloomington Indiana·Üniversitesi'nden Luyi·Xing ve XiaoFeng·Wang, Bloomington Indiana Üniversitesi ve Tsinghua Üniversitesi'nden Xiaolong Bai, Pekin Üniversitesi'nden Tongxin Li, Bloomington Indiana Üniversitesi ve Enformasyon Mühendisliği Enstitüsü'nden Kai Chen, Georgia Teknoloji Enstitüsü'nden Xiaojing Liao, Tsinghua Üniversitesi'nden Shi-Min Hu ve Pekin Üniversitesi'nden Xinhui Han

  • libarchive

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Arşivlerin işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2011-2895: @practicalswift

  • libc

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir paketin işlenmesi rastgele kod yürütmeye neden olabilir

    Açıklama: C standart kütüphanesinde birden çok arabellek taşması vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7038: E. W. Scripps'den Brian D. Wells, Symantec Corporation/Veritas LLC'den Narayan Subramanian

    • CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

      Giriş 3 Mart 2017 tarihinde güncellendi

  • libexpat

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: expat'te birden çok güvenlik açığı

    Açıklama: 2.1.0'dan önceki expat sürümlerde birden çok güvenlik açığı vardı. Bu güvenlik açıkları, expat sürümü 2.1.0'a güncellenerek giderildi.

    CVE kimliği

    CVE-2012-0876: Vincent Danen

    CVE-2012-1147: Kurt Seifried

    CVE-2012-1148: Kurt Seifried

  • libxml2

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir

    Açıklama: XML dosyalarının ayrıştırılmasında bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7115: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

    CVE-2015-7116: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

  • OpenGL

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: OpenGL'de birden çok bellek bozulması sorunu vardı. Bu sorunlar bellek işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Palo Alto Networks'ten Tongbo Luo ve Bo Qu

  • OpenLDAP

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Uzaktaki kimliği doğrulanmamış bir istemci servis reddine neden olabilir

    Açıklama: OpenLDAP'de girdi doğrulama sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-6908

  • OpenSSH

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: LibreSSL'de birden çok güvenlik açığı

    Açıklama: 2.1.8'den önceki LibreSSL sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları, LibreSSL sürümü 2.1.8'e güncellenerek giderildi.

    CVE kimliği

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçla oluşturulmuş bir iWork dosyasının açılması rastgele kod yürütülmesine neden olabilir

    Açıklama: iWork dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7107

  • Korumalı alan

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kök ayrıcalıkları olan kötü amaçlı bir uygulama, çekirdek adres alanı rastgele düzen korumasını atlayabilir

    Açıklama: xnu'da yetersiz ayrıcalık ayırma sorunu vardı. Bu sorun yetkilendirme denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7046: Apple

  • Güvenlik

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SSL anlaşmalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7073: ZeroC, Inc.'ten Benoit Foucher

  • Güvenlik

    İlgili ürünler: OS X Mavericks v10.9.5 ve OS X Yosemite v10.10.5

    Etki: Kötü amaçlarla oluşturulmuş bir sertifikanın işlenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: ASN.1 kod çözücüsünde birden çok bellek bozulması sorunu vardı. Bu sorunlar girdi doğrulaması iyileştirilerek giderildi

    CVE kimliği

    CVE-2015-7059: Mozilla'dan David Keeler

    CVE-2015-7060: Mozilla'dan Tyson Smith

    CVE-2015-7061: Google'dan Ryan Sleevi

  • Güvenlik

    İlgili ürünler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5, OS X El Capitan 10.11 ve 10.11.1

    Etki: Kötü amaçlı bir uygulama bir kullanıcının Anahtar Zinciri öğelerine erişebilir

    Açıklama: Anahtar zinciri öğeleri için erişim kontrol listelerinin doğrulanmasında sorun vardı. Bu sorun erişim kontrol listesi denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7058

  • Sistem Bütünlüğü Koruması

    İlgili ürünler: OS X El Capitan 10.11 ve 10.11.1

    Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birleşim bağlamalarının işlenmesinde ayrıcalık sorunu vardı. Bu sorun yetkilendirme denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7044: MacDefender

Notlar

  • Güvenlik Güncellemesi 2015-005 ve 2015-008 tüm kullanıcılar için önerilir ve OS X'in güvenliğini iyileştirir. QuickTime 7 web tarayıcısı yazılım eki bu güncelleme yüklendikten sonra artık saptanmış olarak etkin olmaz. Hâlâ bu eski yazılım ekine ihtiyacınız varsa ne yapmanız gerektiğini öğrenin.

  • OS X El Capitan 10.11.2'de Safari 9.0.2 sürümünün güvenlik içeriği vardır.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: