OS X El Capitan 10.11'in güvenlik içeriği hakkında
Bu belgede OS X El Capitan 10.11'in güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.
OS X El Capitan v10.11
Adres Defteri
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir saldırgan Adres Defteri framework'ünü yükleyen işlemlere rastgele kod yerleştirebilir
Açıklama: Adres Defteri framework'ünün bir ortam değişkenini işlemesinde sorun vardı. Ortam değişkenlerinin işlenme süreci iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5897: Gotham Digital Science'tan Dan Bastone
AirScan
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, güvenli bir bağlantı üzerinden gönderilen eSCL paketlerinden veri ayıklayabilir
Açıklama: eSCL paketlerinin işlenmesinde sorun vardı. Doğrulama denetimleri iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5853: Anonim bir araştırmacı
apache_mod_php
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: PHP'de birden çok güvenlik açığı
Açıklama: 5.5.27 sürümünden önceki PHP sürümlerinde, uzaktan kod yürütmeye neden olabilecek bir açık dahil birden çok güvenlik açığı vardı. PHP 5.5.27 sürümüne güncellenerek bu sorun giderildi.
CVE kimliği
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store Kiti
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir uygulama bir kullanıcının anahtar zinciri öğelerine erişebilir
Açıklama: iCloud anahtar zinciri öğeleri için erişim denetimi listelerinin doğrulanmasında bir sorun vardı. Erişim kontrol listesi denetimleri iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5836: Indiana University'den XiaoFeng Wang, Indiana University'den Luyi Xing, Peking University'den Tongxin Li, Peking University'den Tongxin Li, Tsinghua University'den Xiaolong Bai
AppleEvents
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ekran paylaşımı aracılığıyla bağlı olan bir kullanıcı Apple Etkinliklerini yerel bir kullanıcının oturumuna gönderebilir
Açıklama: Apple Etkinlik filtrelemesinde bazı kullanıcıların etkinlikleri diğer kullanıcılara göndermesine olanak sağlayan bir sorun vardı. Apple Etkinliklerinin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5849: Jack Lawrence (@_jackhl)
Ses
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir
Açıklama: Ses dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5862: Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore
bash
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bash'te birden çok güvenlik açığı
Açıklama: Bash'in 3.2 yama düzeyi 57'den önceki sürümlerinde birden çok güvenlik açığı vardı. Bash'in 3.2 sürümünün yama düzeyi 57'ye güncellenmesiyle bu sorunlar giderildi.
CVE kimliği
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Sertifika Güven Politikası
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Sertifika güven politikasında güncelleme
Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT202858.
CFNetwork Çerezleri
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcının etkinliklerini izleyebilir
Açıklama: En üst düzeydeki etki alanlarının işlenmesinde etki alanları arası bir çerez sorunu vardı. Çerez oluşturma kısıtlamaları iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5885: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork FTPProtocol
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı FTP sunucuları, istemcinin diğer ana bilgisayarlarla ilgili bilgi toplamasına neden olabilir
Açıklama: PASV komutu kullanılırken FTP paketlerinin işlenmesinde sorun vardı. Doğrulama iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir URL HSTS'yi atlayabilir ve hassas bilgileri sızdırabilir
Açıklama: HSTS'nin işlenmesinde URL'lerin ayrıştırılmasıyla ilgili bir güvenlik açığı vardı. URL'leri ayrıştırma işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5858: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork HTTPProtocol
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir
Açıklama: Safari'nin özel dolaşma modunda HSTS önyükleme listesi girişlerinin işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5859: University of Luxembourg'dan Rosario Giustolisi
CFNetwork HTTPProtocol
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir web sitesi, Safari'nin Özel Dolaşma Modu'nu kullanan kullanıcıları izleyebilir
Açıklama: Safari'nin özel dolaşma modunda HSTS durumunun işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5860: RadicalResearch Ltd'den Sam Greenhalgh
CFNetwork Proxy'ler
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir web proxy'sine bağlanılması bir web sitesi için kötü amaçlı çerezler ayarlayabilir
Açıklama: Proxy bağlantı yanıtlarının işlenmesinde bir sorun vardı. Bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5841: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University
CFNetwork SSL
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir
Açıklama: NSURL'de, bir sertifika değiştiğinde oluşan bir sertifika doğrulama sorunu vardı. Sertifika doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5824: The Omni Group'tan Timothy J. Wood
CFNetwork SSL
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir
Açıklama: RC4'ün gizliliğine yönelik saldırılar olduğu biliniyordu. Bir saldırgan, sunucu daha iyi şifreleri tercih etse bile, CFNetwork yalnızca RC4'e izin veren SSL 3.0'ı deneyinceye kadar TLS 1.0 ve daha yüksek bağlantıları engelleyerek RC4 kullanılmasını zorunlu bırakabilir. SSL 3.0'a geri dönme işlemi kaldırılarak bu sorun giderildi.
CoreCrypto
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir saldırgan, bir özel anahtarı belirleyebilir
Açıklama: Bir saldırgan, çok sayıda oturum açma ve şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Şifreleme algoritmaları iyileştirilerek bu sorun giderildi.
CoreText
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Dev Tools
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: dyld'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5876: grayhash'ten beist
Dev Tools
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir uygulama kod imzalamayı atlayabilir
Açıklama: Çalıştırılabilir dosyaların kod imzasının doğrulanmasında bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5839: @PanguTeam
Disk Görüntüleri
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: DiskImages'da bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir uygulama kod imzalamayı atlayabilir
Açıklama: Çalıştırılabilir dosyaların kod imzasının doğrulanmasında bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5839: TaiG Jailbreak Ekibi
EFI
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir uygulama bazı sistemlerin başlatılmasını engelleyebilir
Açıklama: Korumalı adres aralığı kayıtlarındaki adreslerle ilgili bir sorun vardı. Bu sorun korumalı adres aralığı değiştirilerek giderildi.
CVE kimliği
CVE-2015-5900: LegbaCore'dan Xeno Kovah ve Corey Kallenberg
EFI
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir Apple Ethernet Thunderbolt adaptörü, firmware güncellemesini etkileyebilir
Açıklama: EFI güncellemesi sırasında bağlanan Apple Ethernet Thunderbolt adaptörleri ana bilgisayarın firmware yazılımını değiştirebiliyordu. Bu sorun, güncellemeler sırasında isteğe bağlı ROM'ların yüklenmemesi sağlanarak giderildi.
CVE kimliği
CVE-2015-5914: Two Sigma Investments'tan Trammell Hudson ve snare
Finder
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
"Çöpü Güvenli Boşalt" özelliği Çöp Sepeti'ndeki dosyaları güvenli bir şekilde silmeyebilir
Açıklama: Bazı sistemlerde (Flash depolaması olanlar gibi) Çöp Sepeti'ndeki dosyaların güvenli bir şekilde silinmesinin güvence altına alınmasında bir sorun vardı. "Çöpü Güvenli Boşalt" seçeneği kaldırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5901: Apple
Game Center
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir Game Center uygulaması bir kullanıcının e-posta adresine erişebilir
Açıklama: Game Center'ın kullanıcıların e-postalarını işlemesinde bir sorun vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5855: Nasser Alnasser
Heimdal
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir saldırgan Kerberos kimlik bilgilerini SMB sunucusuna tekrar gönderebilir
Açıklama: Kerberos kimlik bilgilerinde bir kimlik doğrulaması sorunu vardı. En son görülen kimlik bilgilerinin listesi kullanılarak kimlik bilgilerinde ek doğrulama yapılmasıyla bu sorun giderildi.
CVE kimliği
CVE-2015-5913: Microsoft Corporation, ABD'den Tarun Chopra; Microsoft Corporation, Çin'den Yu Fan
ICU
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: ICU'da birden fazla güvenlik açığı
Açıklama: ICU 53.1.0 sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. ICU sürümünün 55.1'e güncellenmesiyle bu sorunlar giderildi.
CVE kimliği
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Google Project Zero'dan Mark Brand
Install Framework Legacy
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Ayrıcalıklı bir çalıştırılabilir dosya içeren özel Install framework'ünde bir kısıtlama sorunu vardı. Çalıştırılabilir dosya kaldırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5888: Apple
Intel Grafik Sürücüsü
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Intel Grafik Sürücüsünde birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5830: Yuki MIZUNO (@mzyy94)
CVE-2015-5877: Camillus Gerard Cai
IOAudioFamily
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: IOAudioFamily'de çekirdek belleği içeriğinin açığa çıkmasına neden olan bir sorun vardı. Çekirdek işaretçilerinin sırası değiştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5864: Luca Todesco
IOGraphics
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5871: IOActive'den Ilja van Sprundel
CVE-2015-5872: IOActive'den Ilja van Sprundel
CVE-2015-5873: IOActive'den Ilja van Sprundel
CVE-2015-5890: IOActive'den Ilja van Sprundel
IOGraphics
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: IOGraphics'te çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5865: Luca Todesco
IOHIDFamily
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5866: Apple
CVE-2015-5867: Trend Micro'dan moony li
IOStorageFamily
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir saldırgan, çekirdek belleğini okuyabilir
Açıklama: Çekirdekte bir bellek başlatma sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5863: IOActive'den Ilja van Sprundel
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5868: Alibaba Mobile Security Team'den Cererdlong
CVE-2015-5896: m00nbsd'den Maxime Villard
CVE-2015-5903: CESG
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir işlem, yetki denetimleri olmadan diğer işlemleri değiştirebilir
Açıklama: processor_set_tasks API'sı kullanan kök işlemlerin diğer işlemlerin görev bağlantı noktalarını öğrenmesine olanak veren bir sorun vardı. Ek yetki denetimleri aracılığıyla bu sorun giderildi.
CVE kimliği
CVE-2015-5882: Pedro Vilaça, Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırma temel alınmıştır; Jonathan Levin
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir saldırgan, kontrol amaçlı yığın çerezlerinin değerini kontrol edebilir
Açıklama: Kullanıcı alanında kontrol amaçlı yığın çerezlerinin oluşturulmasında birden fazla güvenlik açığı vardı. Kontrol amaçlı yığın çerezlerinin oluşturulma işlemi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2013-3951: Stefan Esser
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir saldırgan doğru sıra numarasını bilmeden, hedeflenen TCP bağlantılarında hizmet reddi saldırıları başlatabilir
Açıklama: xnu'nun TCP paket başlıklarını doğrulamasında bir sorun vardı. TCP paketi başlığı doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5879: Jonathan Looney
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel LAN bölümündeki bir saldırgan IPv6 yönlendirmesini etkisizleştirebilir
Açıklama: IPv6 yöneltici tanıtımlarının işlenmesinde bir saldırganın, atlama sınırını rastgele bir değere ayarlamasına izin veren bir yetersiz doğrulama sorunu vardı. Minimum atlama sınırı uygulanarak bu sorun giderildi.
CVE kimliği
CVE-2015-5869: Dennis Spindel Ljungmark
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdek bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Çekirdek bellek yapılarının başlatılması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5842: grayhash'ten beist
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Hata ayıklama arabirimlerinde bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Hata ayıklama arabirimlerinin çıktısı temizlenerek bu sorun giderildi.
CVE kimliği
CVE-2015-5870: Apple
Çekirdek
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Hata ayıklama işlevinde bir durum yönetimi sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5902: NowSecure Research Team'den Sergi Alvarez (pancake)
libc
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir
Açıklama: fflush işlevinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2014-8611: Norse Corporation'dan Adrian Chadd ve Alfred Perlstein
libpthread
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5899: Qihoo 360 Vulcan Team'den Lufeng Li
libxpc
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Çok sayıda SSH bağlantısı olması hizmet reddine neden olabilir
Açıklama: Launchd'de bir ağ bağlantısıyla başlatılabilecek işlem sayısı için sınır yoktu. SSH işlemlerinin sayısı 40 ile sınırlandırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5881: Apple
Oturum Açma Penceresi
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Belirtilen süreden sonra ekran kilidi devreye girmeyebilir
Açıklama: Yakalama işlemi yapıldığı sırada ekranların kilitlenmesinde bir sorun vardı. Kilidin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5833: Carlos Moreira, rainer dorau informationsdesign'dan Rainer Dorau, Asynchrony'den Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera ve Jon Hall
lukemftpd
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Uzak bir saldırgan FTP sunucusunda hizmet reddine neden olabilir
Açıklama: tnftpd'de bir glob işleme sorunu vardı. Glob doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5917: cxsecurity.com'dan Maksymilian Arciemowicz
Mail
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir e-postanın yazdırılmasıyla hassas kullanıcı bilgileri sızdırılabilir
Açıklama: Mail uygulamasında e-posta yazdırırken kullanıcı tercihlerinin atlanması sorunu vardı. Kullanıcı tercihlerinin uygulanması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5881: Akamai Technologies'den Owen DeLong, Noritaka Kamiya, Eschenburg, Almanya'dan Dennis Klein, Systim Technology Partners'tan Jeff Hammett
Mail
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, Mail Drop aracılığıyla gönderilen S/MIME şifreli e-postaların ilişiklerini ele geçirebilir
Açıklama: Mail Drop aracılığıyla gönderilen büyük e-posta ilişiklerinin şifreleme parametrelerinin işlenmesinde bir sorun vardı. Şifrelenmiş e-posta gönderirken sunulan Mail Drop seçeneği kaldırılarak bu sorun giderildi.
CVE kimliği
CVE-2015-5884: Integrated Mapping Ltd'den John McCombs
Birden Fazla Eş Bağlantısı
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir saldırgan korunmayan birden fazla eşe ait verileri izleyebilir
Açıklama: Yardımcı başlatıcı işlenmesinde, şifreleme düzeyinin şifrelenmemiş oturuma etkin bir şekilde düşürülmesine olanak veren bir sorun vardı. Yardımcı başlatıcı şifreleme gerektirecek şekilde değiştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5851: Data Theorem'den Alban Diquet (@nabla_c0d3)
NetworkExtension
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdekteki bir başlatılmamış bellek sorunu, çekirdek bellek içeriğinin açığa çıkmasına neden oluyordu. Belleğin başlatılması iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5831: m00nbsd'den Maxime Villard
Notlar
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir
Açıklama: Notlar uygulamasında bağlantıların ayrıştırılmasında bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5878: Tripwire VERT'ten Craig Young, anonim araştırmacı
Notlar
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir
Açıklama: Notlar uygulamasıyla metin ayrıştırılırken siteler arası bir kodlama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5875: Tencent's Xuanwu LAB'den (www.tencent.com) xisigr
OpenSSH
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: OpenSSH'de birden çok güvenlik açığı
Açıklama: OpenSSH 6.9 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorunlar, OpenSSH sürümünün 6.9'a güncellenmesiyle giderildi.
CVE kimliği
CVE-2014-2532
OpenSSL
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: OpenSSL'de birden fazla güvenlik açığı
Açıklama: OpenSSL 0.9.8zg sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. OpenSSL 0.9.8zg sürümüne güncellenerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-0286
CVE-2015-0287
procmail
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Procmail'de birden çok güvenlik açığı
Açıklama: Procmail 3.22 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorunlar procmail kaldırılarak giderildi.
CVE kimliği
CVE-2014-3618
remote_cmds
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: rsh ikili öğesinin ortam değişkenlerini kullanmasıyla ilgili bir sorun vardı. rsh ikili öğesinin setuid ayrıcalıkları iptal edilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5889: Philip Pettersson
removefile
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlı verilerin işlenmesi uygulamanın beklenmedik şekilde sona ermesine neden olabilir
Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bölme yordamları iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5840: Anonim bir araştırmacı
Ruby
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Ruby'de birden çok güvenlik açığı
Açıklama: Ruby 2.0.0p645 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Ruby'nin 2.0.0p645 sürümüne güncellenmesiyle bu sorunlar giderildi.
CVE kimliği
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Güvenlik
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Anahtar zincirinin kilit durumu kullanıcıya yanlış gösterilebilir
Açıklama: Anahtar zinciri kilit durumunun izlenme şeklinde bir durum yönetimi sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5915: University of Minnesota'dan Peter Walz, David Ephron, Eric E. Lawrence, Apple
Güvenlik
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: İptal denetimi gerektirecek şekilde yapılandırılan bir güven değerlendirmesi, iptal denetimi başarısız olsa bile başarılı olabilir
Açıklama: kSecRevocationRequirePositiveResponse bayrağı belirtilmesine rağmen uygulanmıyordu. Bayrağın uygulanması sağlanarak bu sorun giderildi.
CVE kimliği
CVE-2015-5894: kWallet GmbH'den Hannes Oud
Güvenlik
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Bir uzak sunucu kendini tanıtmadan önce sertifika isteyebilir
Açıklama: Güvenli Aktarım ServerKeyExchange iletisinden önce CertificateRequest iletisini kabul ediyordu. ServerKeyExchange iletisinin önce istenmesiyle bu sorun giderildi.
CVE kimliği
CVE-2015-5887: INRIA Paris-Rocquencourt'tan Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti ve Jean Karim Zinzindohoue; Microsoft Research'ten Cedric Fournet ve Markulf Kohlweiss; IMDEA Software Institute'ten Pierre-Yves Strub
SMB
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5891: IOActive'den Ilja van Sprundel
SMB
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: SMBClient'ta çekirdek belleği içeriğinin açığa çıkmasına neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5893: IOActive'den Ilja van Sprundel
SQLite
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: SQLite 3.8.5'te birden fazla güvenlik açığı
Açıklama: SQLite 3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar SQLite sürümü 3.8.10.2'ye güncellenerek giderildi.
CVE kimliği
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telefon
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir saldırgan, Devamlılık kullanırken kullanıcının bilgisi olmadan telefon görüşmesi yapabilir
Açıklama: Telefon görüşmeleri yapılırken kullanılan yetkilendirme denetimlerinde bir sorun vardı. Yetkilendirme denetimleri iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-3785: Gotham Digital Science'tan Dan Bastone
Terminal
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş metinler Terminal'de kullanıcıyı yanıltabilir
Açıklama: Terminal çift yönlü geçersiz kılma karakterlerini metin görüntülerken ve metin seçerken aynı şekilde işlemiyordu. Terminal'de çift yönlü geçersiz kılma karakterleri engellenerek bu sorun giderildi.
CVE kimliği
CVE-2015-5883: Lukas Schauer (@lukas2511)
tidy
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Tidy'de'de birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.
CVE kimliği
CVE-2015-5522: NULLGroup.com'dan Fernando Muñoz
CVE-2015-5523: NULLGroup.com'dan Fernando Muñoz
Time Machine
İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler
Etki: Yerel bir saldırgan anahtar zinciri öğelerine erişebilir
Açıklama: Time Machine framework'ü tarafından yapılan yedeklemelerde sorun vardı. Time Machine yedeklemelerinin kapsamı iyileştirilerek bu sorun giderildi.
CVE kimliği
CVE-2015-5854: Assured AB'den Jonas Magazinius
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.