Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.
Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.
Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
OS X Yosemite 10.10.2 ve Güvenlik Güncellemesi 2015-001
AFP Sunucusu
İlgili işletim sistemleri: OS X Mavericks 10.9.5
Etki: Uzak bir saldırgan sistemin tüm ağ adreslerini belirleyebilir
Açıklama: AFP dosya sunucusu, sistemdeki tüm ağ adreslerini döndüren bir komutu destekliyordu. Bu sorun, bu adreslerin sonuçlardan kaldırılmasıyla giderildi.
CVE kimliği
CVE-2014-4426: Tripwire VERT, Craig Young
bash
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Bash'te yerel saldırganların rastgele kod yürütmesine yol açan bir açık da dahil olmak üzere birden çok güvenlik açığı
Açıklama: Bash'te birden çok güvenlik açığı vardı. Bu sorunlar, bash'in yama düzeyi 57'ye güncellenmesiyle giderildi.
CVE kimliği
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOBluetoothFamily'de çekirdek belleğinin değiştirilmesine olanak sağlayan bir tamsayı imzalama hatası vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Yosemite sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2014-4497
Bluetooth
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bluetooth sürücüsünde kötü amaçlı bir uygulamanın çekirdek belleğine yazma boyutunu denetlemesine olanak sağlayan bir hata vardı. Bu sorun, ek girdi doğrulama işlemi ile giderildi.
CVE kimliği
CVE-2014-8836: Google Project Zero'dan Ian Beer
Bluetooth
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bluetooth sürücüsünde kötü amaçlı bir uygulamanın sistem ayrıcalıklarıyla rastgele kod yürütmesine olanak sağlayan birden çok güvenlik sorunu vardı. Bu sorunlar ek girdi doğrulama işlemi ile giderildi.
CVE kimliği
CVE-2014-8837: Emaze Networks'ten Roberto Paleari ve Aristide Fattori
CFNetwork Cache
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Özel dolaşma modundan çıkıldıktan sonra web sitesi önbelleği tamamıyla temizlenmeyebiliyor
Açıklama: Özel dolaşma modundan çıkıldıktan sonra göz atma verilerinin önbellekte kaldığı bir gizlilik sorunu vardı. Bu sorun, ön belleğe alma davranışı değiştirilerek giderildi.
CVE kimliği
CVE-2014-4460
CoreGraphics
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4481: iSIGHT Partners GVP Programı aracılığıyla Binamuse VRT'den Felipe Andres Manzano
CPU Software
İlgili İşletim Sistemleri: OS X Yosemite 10.10 ve 10.10.1; İlgili Ürünler: MacBook Pro Retina, MacBook Air (2013 Ortası ve sonrası), iMac (2013 Sonu ve sonrası), Mac Pro (2013 Sonu)
Etki: Kötü amaçlı bir Thunderbolt aygıtı firmware'in güncellenmesini engelleyebilir
Açıklama: Thunderbolt aygıtları bir EFI güncellemesi sırasında bağlandıklarında ana bilgisayar firmware'ini değiştirebiliyordu. Bu sorun, güncellemeler sırasında seçenek ROM'lar yüklenmeyerek giderildi.
CVE kimliği
CVE-2014-4498: Two Sigma Investments'dan Trammell Hudson
CommerceKit Framework
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etkisi: Sisteme erişimi olan bir saldırgan Apple Kimliği bilgilerini geri alabilir
Açıklama: App Store günlüklerinin işlenmesinde bir sorun vardı. App Store işlemi, ek günlüğe kaydetme etkinleştirildiğinde Apple Kimliği bilgilerini günlüğe kaydedebiliyordu. Bu sorun kimlik bilgilerinin günlüğe kaydedilmesine izin verilmeyerek giderildi.
CVE kimliği
CVE-2014-4499: Sten Petersen
CoreGraphics
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Güvenli olmayan metin girişi ve fare olayları gerçekleştirilen bazı üçüncü taraf uygulamalar bu olayları günlüğe kaydedebilir
Açıklama: Sıfırlanmamış bir değişken ve bir uygulama özel ayırıcısının bir araya gelmesi sonucu güvenli olmayan metin girişi ve fare olayları günlüğe kaydedilebiliyordu. Bu sorun günlüğe kaydetmenin saptanmış olarak etkisizleştirilmiş olması sağlanarak giderildi. Bu sorun OS X Yosemite öncesi sistemleri etkilemiyordu.
CVE kimliği
CVE-2014-1595: Kent Howard ile birlikte çalışan Mozilla'dan Steven Michaud
CoreGraphics
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: PDF dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sorun, sınırların denetimi iyileştirilerek giderildi. OS X Yosemite sistemleri bu sorundan etkilenmez.
CVE kimliği
CVE-2014-8816: Digital Operatives LLC'den Mike Myers
CoreSymbolication
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Coresymbolicationd'in XPC mesajlarını işlemesinde birçok tür karışıklığı sorunu vardı. Bu sorunlar tür denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8817: Google Project Zero'dan Ian Beer
FontParser
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4484: HP Zero Day Initiative ile çalışan Gaurav Baruah
FontParser
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4483: Apple
Altyapı
İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasını görüntülemek, beklenmedik uygulama sona erme veya rastgele kod yürütmeye neden olabilir
Açıklama: XML ayrıştırıcısında bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4485: Apple
Intel Grafik Sürücüsü
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Intel grafik kartı sürücüsünde birden çok güvenlik açığı
Açıklama: Intel grafik kartı sürücüsünde en ciddi olanı sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilen birden çok güvenlik açığı vardı. Bu güncelleme ek sınır denetimleri gerçekleştirilerek sorunları giderir.
CVE kimliği
CVE-2014-8819: Google Project Zero'dan Ian Beer
CVE-2014-8820: Google Project Zero'dan Ian Beer
CVE-2014-8821: Google Project Zero'dan Ian Beer
IOAcceleratorFamily
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily'nin belirli IOService kullanıcı istemcisi türlerini işlemesinde bir null işaretçi başvurusu vardı. Bu sorun IOAcceleratorFamily bağlamları için doğrulamanın geliştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4486: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4488: Apple
IOHIDFamily
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin etkinlik kuyruklarını işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, IOHIDFamily etkinlik kuyruğu sıfırlama doğrulamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4489: @beist
IOHIDFamily
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir
Açıklama: IOHIDFamily sürücüsü tarafından sunulan kullanıcı istemcisinde kötü amaçlı bir uygulamanın çekirdek adres alanının rastgele kısımlarının üstüne yazmasına olanak sağlayan bir sınır denetimi sorunu vardı. Bu sorun güvenlik açığı olan kullanıcı istemcisi yöntemi kaldırılarak giderildi.
CVE kimliği
CVE-2014-8822: HP Zero Day Initiative ile çalışan Vitaliy Toropov
IOKit
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOKit işlevlerinin işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4389: Google Project Zero'dan Ian Beer
IOUSBFamily
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Ayrıcalıklı bir uygulama çekirdek belleğindeki rastgele verileri okuyabilir
Açıklama: IOUSB denetleyicisi kullanıcı istemcisi işlevlerinin işlenmesinde bir bellek erişimi sorunu vardı. Bu sorun bağımsız değişken doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8823: Google Project Zero'dan Ian Beer
Kerberos
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kerberos libgssapi arşivi, asılı kalan işaretçiye sahip bir bağlam belirteci döndürüyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-5352
Çekirdek
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Özel bir önbellek modunun belirtilmesi çekirdeğin salt okunur paylaşılan bellek bölümlerine yazmaya olanak sağlıyordu. Bu sorun bazı özel önbellek modlarının yan etkisi olarak yazma izinleri verilmemesiyle giderildi.
CVE kimliği
CVE-2014-4495: Google Project Zero'dan Ian Beer
Çekirdek
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu mevcuttu. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-8824: @PanguTeam
Çekirdek
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Yerel bir saldırgan çekirdeğe yanıltıcı dizin hizmeti yanıtları gönderebilir, ayrıcalıkları artırabilir veya çekirdek yürütme kazanabilir
Açıklama: Dizin hizmeti çözümlemesi işlemi, bayrak işleme ve hata işleme işlemlerinin identitysvc doğrulamasında sorunlar vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8825: CrowdStrike'dan Alex Radocea
Çekirdek
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Ağ istatistikleri arabiriminde, çekirdek belleği içeriğinin açıklanmasına yol açan birden çok başlatılmamış bellek sorunu vardı. Bu sorun, ekstra bellek sıfırlamayla giderildi.
CVE kimliği
CVE-2014-4371: Google Güvenlik Ekibi'nden Fermin J. Serna
CVE-2014-4419: Google Güvenlik Ekibi'nden Fermin J. Serna
CVE-2014-4420: Google Güvenlik Ekibi'nden Fermin J. Serna
CVE-2014-4421: Google Güvenlik Ekibi'nden Fermin J. Serna
Çekirdek
İlgili işletim sistemleri: OS X Mavericks 10.9.5
Etki: Ayrıcalıklı ağ konumuna sahip bir kişi hizmet reddine yol açabilir
Açıklama: IPv6 paketlerinin işlenmesinde bir yarış koşulu sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2011-2391
Çekirdek
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş uygulamaları çekirdek adreslerini belirleyebilir
Açıklama: Çekirdek uzantılarıyla ilişkili API'lerin işlenmesi sırasında bilgi ifşa etme sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, adres alanı rastgele düzen belirleme korumasının devre dışı bırakılmasına yardımcı olabilecek çekirdek adresleri içerebilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.
CVE kimliği
CVE-2014-4491: @PanguTeam, Stefan Esser
Çekirdek
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOSharedDataQueue nesnelerindeki belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun, meta verilerin yerinin değiştirilmesiyle giderildi.
CVE kimliği
CVE-2014-4461: @PanguTeam
LaunchServices
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir JAR dosyası Gatekeeper denetimlerini atlayabilir
Açıklama: Uygulama başlatmanın işlenmesinde belirli kötü amaçlı JAR dosyalarının Gatekeeper denetimlerini atlamasına olanak sağlayan bir sorun vardı. Bu sorun, dosya türü meta verilerinin işlenmesinin iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-8826: Amplia Security'den Hernan Ochoa
libnetcore
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Korumalı alanda çalışan kötü amaçlı bir uygulama, networkd arka plan uygulamasının güvenliğini tehlikeye atabilir
Açıklama: Networkd'nin işlemler arası iletişimi işlemesinde birden çok tür karışıklığı sorunu vardı. Networkd'ye kötü amaçlı olarak biçimlendirilmiş bir ileti gönderilmesiyle networkd işlemi olarak rastgele kod yürütmek mümkün olabiliyordu. Bu sorun, ek tür denetimi ile giderildi.
CVE kimliği
CVE-2014-4492: Google Project Zero'dan Ian Beer
LoginWindow
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Bir Mac uyanır uyanmaz kilitlenmeyebilir
Açıklama: Kilit ekranının işlenmesinde bir sorun vardı. Bu sorun kilitliyken ekran işleme iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8827: Mono'dan Xavier Bertels ve birçok OS X çekirdek testi uzmanı
lukemftp
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir http sunucusundan dosya almak için komut satırı ftp aracının kullanılması rastgele kod yürütülmesine neden olabilir
Açıklama: HTTP yeniden yönlendirmelerinin işlenmesinde komut enjeksiyonu sorunu vardı. Bu sorun özel karakterler için doğrulamanın iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-8517
ntpd
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Ntp arka plan uygulamasının şifreleme kimlik doğrulaması etkinken kullanılması bilgi sızmasına neden olabilir
Açıklama: Ntpd'de birçok giriş doğrulaması sorunu vardı. Bu sorunlar veri doğrulaması iyileştirilerek giderildi.
CVE kimliği
CVE-2014-9297
OpenSSL
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: OpenSSL 0.9.8za'da bir saldırganın bağlantıları bozarak arşivi kullanan uygulamalarda daha zayıf şifre paketleri kullanmasına olanak sağlayabilen bir güvenlik açığı da dahi olmak üzere birden çok güvenlik açığı
Açıklama: OpenSSL 0.9.8a'da birden çok güvenlik açığı vardı. Bu sorunlar, OpenSSL 0.9.8zc sürümüne güncellenerek giderildi.
CVE kimliği
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Korumalı alan
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Etki: Korumalı alandaki bir işlem korumalı alan sınırlamalarını engelleyebilir
Açıklama: Korumalı alan profillerinin ön belleğe alınmasında korumalı alandaki uygulamaların önbelleğe yazma erişimi kazanmasına olanak sağlayan bir tasarım sorunu vardı. Bu sorun “com.apple.sandbox” bölümü içeren yollara yazma erişimi sağlanması kısıtlanarak giderildi. Bu sorun OS X Yosemite 10.10 veya sonrasını etkilemez.
CVE kimliği
CVE-2014-8828: Apple
SceneKit
İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5
Etki: Kötü amaçlı bir uygulama rastgele kod yürüterek kullanıcı bilgilerinin tehlikeye atılmasına neden olabiliyordu
Açıklama: SceneKit'te birçok sınırların dışında yazma sorunu vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8829: Google Security Team'den Jose Duart
SceneKit
İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, beklenmedik uygulama sona erme veya rastgele kod yürütmeye neden olabilir
Açıklama: SceneKit’in Collada dosyalarını işlenmesinde yığın arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabiliyordu. Bu sorun erişimci öğeler için doğrulamanın iyileştirilmesiyle giderildi.
CVE kimliği
CVE-2014-8830: Google Security Team'den Jose Duart
Güvenlik
İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: İptal edilmiş bir Geliştirici Kimliği sertifikası ile imzalanmış indirilen bir uygulama Gatekeeper denetimlerini geçebilir
Açıklama: Ön belleğe alınan uygulama sertifikası bilgilerinin değerlendirilmesi ile ilgili bir sorun vardı. Bu sorun önbellek mantığı iyileştirmeleri ile giderildi.
CVE kimliği
CVE-2014-8838: Apple
security_taskgate
İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Bir uygulama başka uygulamalara ait olan anahtar zinciri öğelerine erişebilir
Açıklama: Anahtar Zinciri'nde bir erişim denetimi sorunu vardı. Otomatik imzalı veya Geliştirici Kimliği sertifikaları ile imzalanan uygulamalar, erişim denetimi listeleri anahtar zinciri gruplarını temel alan anahtar zinciri öğelerine erişebiliyordu. Bu sorun, anahtar zinciri gruplarına erişim verilirken imzalama kimliği doğrulanarak giderildi.
CVE kimliği
CVE-2014-8831: Apple
Spotlight
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Bir e-postanın göndericisi alıcının IP adresini belirleyebiliyordu
Açıklama: Spotlight Mail'in "İletilerdeki uzak içeriği yükle" ayarının durumunu kontrol etmiyordu. Bu sorun yapılandırma denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8839: The New York Times'dan John Whitehead, LastFriday.no'dan Frode Moe
Spotlight
İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Spotlight harici bir sabit sürücüye beklenmeyen bilgiler kaydedebilir
Açıklama: Spotlight'ta bellek içeriklerinin dizin oluşturma sırasında harici sabit sürücülere yazılmış olabildiği bir sorun vardı. Bu sorun daha iyi bellek yönetimiyle giderildi.
CVE kimliği
CVE-2014-8832: F-Secure
SpotlightIndex
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Spotlight kullanıcıya ait olmayan dosyaların sonuçlarını görüntüleyebilir
Açıklama: Spotlight'ın izin önbelleklerini işlemesinde serileştirmeyi bozma sorunu vardı. Spotlight sorgusu gerçekleştiren bir kullanıcıya okumak için yeterli ayrıcalıklara sahip olmadığı dosyalara başvuran arama sonuçları gösterilebiliyordu. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-8833: David J Peacock, Independent Technology Consultant
sysmond
İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1
Etki: Kötü amaçlı bir uygulama kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sysmond'da yerel bir uygulamanın ayrıcalıkları yönlendirmesine olanak sağlayan bir tür karışıklığı güvenlik açığı vardı. Bu sorun tür denetimi iyileştirilerek giderildi.
CVE kimliği
CVE-2014-883:: Google Project Zero'dan Ian Beer
UserAccountUpdater
İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1
Etki: Yazdırmayla ilgili tercih dosyaları PDF belgeleri hakkında hassas bilgiler içerebilir
Açıklama: OS X Yosemite 10.10, parolaların yazdırma tercih dosyalarında bulunabildiği Yazdır iletişim kutusundan oluşturulan parola korumalı PDF dosyalarının işlenmesindeki sorunu giderdi. Bu güncelleme yazdırma tercih dosyalarında bulunabilen bu tür ilgisiz bilgileri kaldırır.
CVE kimliği
CVE-2014-8834: Apple
Not: OS X Yosemite 10.10.2 Safari 8.0.3 güvenlik içeriğini içerir.