OS X Yosemite 10.10.2 ve Güvenlik Güncellemesi 2015-001 güvenlik içeriği hakkında

Bu belge, OS X Yosemite 10.10.2 ve Güvenlik Güncellemesi 2015-001'in güvenlik içeriğini açıklamaktadır

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarını kullanma başlıklı makaleye bakın.

Mümkün olduğunda, daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer Güvenlik Güncellemeleri hakkında daha fazla bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.

OS X Yosemite 10.10.2 ve Güvenlik Güncellemesi 2015-001

  • AFP Sunucusu

    İlgili işletim sistemleri: OS X Mavericks 10.9.5

    Etki: Uzak bir saldırgan sistemin tüm ağ adreslerini belirleyebilir

    Açıklama: AFP dosya sunucusu, sistemdeki tüm ağ adreslerini döndüren bir komutu destekliyordu. Bu sorun, bu adreslerin sonuçlardan kaldırılmasıyla giderildi.

    CVE kimliği

    CVE-2014-4426: Tripwire VERT, Craig Young

  • bash

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Bash'te yerel saldırganların rastgele kod yürütmesine yol açan bir açık da dahil olmak üzere birden çok güvenlik açığı

    Açıklama: Bash'te birden çok güvenlik açığı vardı. Bu sorunlar, bash'in yama düzeyi 57'ye güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Bluetooth

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOBluetoothFamily'de çekirdek belleğinin değiştirilmesine olanak sağlayan bir tamsayı imzalama hatası vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi. OS X Yosemite sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2014-4497

  • Bluetooth

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bluetooth sürücüsünde kötü amaçlı bir uygulamanın çekirdek belleğine yazma boyutunu denetlemesine olanak sağlayan bir hata vardı. Bu sorun, ek girdi doğrulama işlemi ile giderildi.

    CVE kimliği

    CVE-2014-8836: Google Project Zero'dan Ian Beer

  • Bluetooth

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bluetooth sürücüsünde kötü amaçlı bir uygulamanın sistem ayrıcalıklarıyla rastgele kod yürütmesine olanak sağlayan birden çok güvenlik sorunu vardı. Bu sorunlar ek girdi doğrulama işlemi ile giderildi.

    CVE kimliği

    CVE-2014-8837: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • CFNetwork Cache

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Özel dolaşma modundan çıkıldıktan sonra web sitesi önbelleği tamamıyla temizlenmeyebiliyor

    Açıklama: Özel dolaşma modundan çıkıldıktan sonra göz atma verilerinin önbellekte kaldığı bir gizlilik sorunu vardı. Bu sorun, ön belleğe alma davranışı değiştirilerek giderildi.

    CVE kimliği

    CVE-2014-4460

  • CoreGraphics

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarının işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4481: iSIGHT Partners GVP Programı aracılığıyla Binamuse VRT'den Felipe Andres Manzano

  • CPU Software

    İlgili İşletim Sistemleri: OS X Yosemite 10.10 ve 10.10.1; İlgili Ürünler: MacBook Pro Retina, MacBook Air (2013 Ortası ve sonrası), iMac (2013 Sonu ve sonrası), Mac Pro (2013 Sonu)

    Etki: Kötü amaçlı bir Thunderbolt aygıtı firmware'in güncellenmesini engelleyebilir

    Açıklama: Thunderbolt aygıtları bir EFI güncellemesi sırasında bağlandıklarında ana bilgisayar firmware'ini değiştirebiliyordu. Bu sorun, güncellemeler sırasında seçenek ROM'lar yüklenmeyerek giderildi.

    CVE kimliği

    CVE-2014-4498: Two Sigma Investments'dan Trammell Hudson

  • CommerceKit Framework

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etkisi: Sisteme erişimi olan bir saldırgan Apple Kimliği bilgilerini geri alabilir

    Açıklama: App Store günlüklerinin işlenmesinde bir sorun vardı. App Store işlemi, ek günlüğe kaydetme etkinleştirildiğinde Apple Kimliği bilgilerini günlüğe kaydedebiliyordu. Bu sorun kimlik bilgilerinin günlüğe kaydedilmesine izin verilmeyerek giderildi.

    CVE kimliği

    CVE-2014-4499: Sten Petersen

  • CoreGraphics

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Güvenli olmayan metin girişi ve fare olayları gerçekleştirilen bazı üçüncü taraf uygulamalar bu olayları günlüğe kaydedebilir

    Açıklama: Sıfırlanmamış bir değişken ve bir uygulama özel ayırıcısının bir araya gelmesi sonucu güvenli olmayan metin girişi ve fare olayları günlüğe kaydedilebiliyordu. Bu sorun günlüğe kaydetmenin saptanmış olarak etkisizleştirilmiş olması sağlanarak giderildi. Bu sorun OS X Yosemite öncesi sistemleri etkilemiyordu.

    CVE kimliği

    CVE-2014-1595: Kent Howard ile birlikte çalışan Mozilla'dan Steven Michaud

  • CoreGraphics

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: PDF dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sorun, sınırların denetimi iyileştirilerek giderildi. OS X Yosemite sistemleri bu sorundan etkilenmez.

    CVE kimliği

    CVE-2014-8816: Digital Operatives LLC'den Mike Myers

  • CoreSymbolication

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Coresymbolicationd'in XPC mesajlarını işlemesinde birçok tür karışıklığı sorunu vardı. Bu sorunlar tür denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8817: Google Project Zero'dan Ian Beer

  • FontParser

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasını işlemek, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .dfont dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4484: HP Zero Day Initiative ile çalışan Gaurav Baruah

  • FontParser

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4483: Apple

  • Altyapı

    İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasını görüntülemek, beklenmedik uygulama sona erme veya rastgele kod yürütmeye neden olabilir

    Açıklama: XML ayrıştırıcısında bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4485: Apple

  • Intel Grafik Sürücüsü

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Intel grafik kartı sürücüsünde birden çok güvenlik açığı

    Açıklama: Intel grafik kartı sürücüsünde en ciddi olanı sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilen birden çok güvenlik açığı vardı. Bu güncelleme ek sınır denetimleri gerçekleştirilerek sorunları giderir.

    CVE kimliği

    CVE-2014-8819: Google Project Zero'dan Ian Beer

    CVE-2014-8820: Google Project Zero'dan Ian Beer

    CVE-2014-8821: Google Project Zero'dan Ian Beer

  • IOAcceleratorFamily

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'nin belirli IOService kullanıcı istemcisi türlerini işlemesinde bir null işaretçi başvurusu vardı. Bu sorun IOAcceleratorFamily bağlamları için doğrulamanın geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4486: Google Project Zero'dan Ian Beer

  • IOHIDFamily

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de bir arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-4487: TaiG Jailbreak Team

  • IOHIDFamily

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4488: Apple

  • IOHIDFamily

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'nin etkinlik kuyruklarını işlemesinde bir null işaretçi başvurusu vardı. Bu sorun, IOHIDFamily etkinlik kuyruğu sıfırlama doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4489: @beist

  • IOHIDFamily

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulamanın çalıştırılması çekirdek içinde rastgele kod yürütülmesine neden olabilir

    Açıklama: IOHIDFamily sürücüsü tarafından sunulan kullanıcı istemcisinde kötü amaçlı bir uygulamanın çekirdek adres alanının rastgele kısımlarının üstüne yazmasına olanak sağlayan bir sınır denetimi sorunu vardı. Bu sorun güvenlik açığı olan kullanıcı istemcisi yöntemi kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-8822: HP Zero Day Initiative ile çalışan Vitaliy Toropov

  • IOKit

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOKit işlevlerinin işlenmesinde bir tamsayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4389: Google Project Zero'dan Ian Beer

  • IOUSBFamily

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Ayrıcalıklı bir uygulama çekirdek belleğindeki rastgele verileri okuyabilir

    Açıklama: IOUSB denetleyicisi kullanıcı istemcisi işlevlerinin işlenmesinde bir bellek erişimi sorunu vardı. Bu sorun bağımsız değişken doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8823: Google Project Zero'dan Ian Beer

  • Kerberos

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Kerberos libgssapi arşivi, asılı kalan işaretçiye sahip bir bağlam belirteci döndürüyordu. Bu sorun durum yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-5352

  • Çekirdek

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Özel bir önbellek modunun belirtilmesi çekirdeğin salt okunur paylaşılan bellek bölümlerine yazmaya olanak sağlıyordu. Bu sorun bazı özel önbellek modlarının yan etkisi olarak yazma izinleri verilmemesiyle giderildi.

    CVE kimliği

    CVE-2014-4495: Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu mevcuttu. Bu sorun, meta veri doğrulamasının iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-8824: @PanguTeam

  • Çekirdek

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Yerel bir saldırgan çekirdeğe yanıltıcı dizin hizmeti yanıtları gönderebilir, ayrıcalıkları artırabilir veya çekirdek yürütme kazanabilir

    Açıklama: Dizin hizmeti çözümlemesi işlemi, bayrak işleme ve hata işleme işlemlerinin identitysvc doğrulamasında sorunlar vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8825: CrowdStrike'dan Alex Radocea

  • Çekirdek

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: Ağ istatistikleri arabiriminde, çekirdek belleği içeriğinin açıklanmasına yol açan birden çok başlatılmamış bellek sorunu vardı. Bu sorun, ekstra bellek sıfırlamayla giderildi.

    CVE kimliği

    CVE-2014-4371: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2014-4419: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2014-4420: Google Güvenlik Ekibi'nden Fermin J. Serna

    CVE-2014-4421: Google Güvenlik Ekibi'nden Fermin J. Serna

  • Çekirdek

    İlgili işletim sistemleri: OS X Mavericks 10.9.5

    Etki: Ayrıcalıklı ağ konumuna sahip bir kişi hizmet reddine yol açabilir

    Açıklama: IPv6 paketlerinin işlenmesinde bir yarış koşulu sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2011-2391

  • Çekirdek

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçla oluşturulmuş veya gizliliği ihlal edilmiş uygulamaları çekirdek adreslerini belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilişkili API'lerin işlenmesi sırasında bilgi ifşa etme sorunu vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, adres alanı rastgele düzen belirleme korumasının devre dışı bırakılmasına yardımcı olabilecek çekirdek adresleri içerebilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.

    CVE kimliği

    CVE-2014-4491: @PanguTeam, Stefan Esser

  • Çekirdek

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOSharedDataQueue nesnelerindeki belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun, meta verilerin yerinin değiştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-4461: @PanguTeam

  • LaunchServices

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir JAR dosyası Gatekeeper denetimlerini atlayabilir

    Açıklama: Uygulama başlatmanın işlenmesinde belirli kötü amaçlı JAR dosyalarının Gatekeeper denetimlerini atlamasına olanak sağlayan bir sorun vardı. Bu sorun, dosya türü meta verilerinin işlenmesinin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-8826: Amplia Security'den Hernan Ochoa

  • libnetcore

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Korumalı alanda çalışan kötü amaçlı bir uygulama, networkd arka plan uygulamasının güvenliğini tehlikeye atabilir

    Açıklama: Networkd'nin işlemler arası iletişimi işlemesinde birden çok tür karışıklığı sorunu vardı. Networkd'ye kötü amaçlı olarak biçimlendirilmiş bir ileti gönderilmesiyle networkd işlemi olarak rastgele kod yürütmek mümkün olabiliyordu. Bu sorun, ek tür denetimi ile giderildi.

    CVE kimliği

    CVE-2014-4492: Google Project Zero'dan Ian Beer

  • LoginWindow

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Bir Mac uyanır uyanmaz kilitlenmeyebilir

    Açıklama: Kilit ekranının işlenmesinde bir sorun vardı. Bu sorun kilitliyken ekran işleme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8827: Mono'dan Xavier Bertels ve birçok OS X çekirdek testi uzmanı

  • lukemftp

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir http sunucusundan dosya almak için komut satırı ftp aracının kullanılması rastgele kod yürütülmesine neden olabilir

    Açıklama: HTTP yeniden yönlendirmelerinin işlenmesinde komut enjeksiyonu sorunu vardı. Bu sorun özel karakterler için doğrulamanın iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-8517

  • ntpd

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Ntp arka plan uygulamasının şifreleme kimlik doğrulaması etkinken kullanılması bilgi sızmasına neden olabilir

    Açıklama: Ntpd'de birçok giriş doğrulaması sorunu vardı. Bu sorunlar veri doğrulaması iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-9297

  • OpenSSL

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: OpenSSL 0.9.8za'da bir saldırganın bağlantıları bozarak arşivi kullanan uygulamalarda daha zayıf şifre paketleri kullanmasına olanak sağlayabilen bir güvenlik açığı da dahi olmak üzere birden çok güvenlik açığı

    Açıklama: OpenSSL 0.9.8a'da birden çok güvenlik açığı vardı. Bu sorunlar, OpenSSL 0.9.8zc sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2014-3566

    CVE-2014-3567

    CVE-2014-3568

  • Korumalı alan

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Etki: Korumalı alandaki bir işlem korumalı alan sınırlamalarını engelleyebilir

    Açıklama: Korumalı alan profillerinin ön belleğe alınmasında korumalı alandaki uygulamaların önbelleğe yazma erişimi kazanmasına olanak sağlayan bir tasarım sorunu vardı. Bu sorun “com.apple.sandbox” bölümü içeren yollara yazma erişimi sağlanması kısıtlanarak giderildi. Bu sorun OS X Yosemite 10.10 veya sonrasını etkilemez.

    CVE kimliği

    CVE-2014-8828: Apple

  • SceneKit

    İlgili işletim sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5

    Etki: Kötü amaçlı bir uygulama rastgele kod yürüterek kullanıcı bilgilerinin tehlikeye atılmasına neden olabiliyordu

    Açıklama: SceneKit'te birçok sınırların dışında yazma sorunu vardı. Bu sorunlar sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8829: Google Security Team'den Jose Duart

  • SceneKit

    İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, beklenmedik uygulama sona erme veya rastgele kod yürütmeye neden olabilir

    Açıklama: SceneKit’in Collada dosyalarını işlenmesinde yığın arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, uygulamanın beklenmeyen şekilde sonlanmasına veya rastgele kod yürütülmesine neden olabiliyordu. Bu sorun erişimci öğeler için doğrulamanın iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2014-8830: Google Security Team'den Jose Duart

  • Güvenlik

    İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: İptal edilmiş bir Geliştirici Kimliği sertifikası ile imzalanmış indirilen bir uygulama Gatekeeper denetimlerini geçebilir

    Açıklama: Ön belleğe alınan uygulama sertifikası bilgilerinin değerlendirilmesi ile ilgili bir sorun vardı. Bu sorun önbellek mantığı iyileştirmeleri ile giderildi.

    CVE kimliği

    CVE-2014-8838: Apple

  • security_taskgate

    İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Bir uygulama başka uygulamalara ait olan anahtar zinciri öğelerine erişebilir

    Açıklama: Anahtar Zinciri'nde bir erişim denetimi sorunu vardı. Otomatik imzalı veya Geliştirici Kimliği sertifikaları ile imzalanan uygulamalar, erişim denetimi listeleri anahtar zinciri gruplarını temel alan anahtar zinciri öğelerine erişebiliyordu. Bu sorun, anahtar zinciri gruplarına erişim verilirken imzalama kimliği doğrulanarak giderildi.

    CVE kimliği

    CVE-2014-8831: Apple

  • Spotlight

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Bir e-postanın göndericisi alıcının IP adresini belirleyebiliyordu

    Açıklama: Spotlight Mail'in "İletilerdeki uzak içeriği yükle" ayarının durumunu kontrol etmiyordu. Bu sorun yapılandırma denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8839: The New York Times'dan John Whitehead, LastFriday.no'dan Frode Moe

  • Spotlight

    İlgili İşletim Sistemleri: OS X Mountain Lion 10.8.5, OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Spotlight harici bir sabit sürücüye beklenmeyen bilgiler kaydedebilir

    Açıklama: Spotlight'ta bellek içeriklerinin dizin oluşturma sırasında harici sabit sürücülere yazılmış olabildiği bir sorun vardı. Bu sorun daha iyi bellek yönetimiyle giderildi.

    CVE kimliği

    CVE-2014-8832: F-Secure

  • SpotlightIndex

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Spotlight kullanıcıya ait olmayan dosyaların sonuçlarını görüntüleyebilir

    Açıklama: Spotlight'ın izin önbelleklerini işlemesinde serileştirmeyi bozma sorunu vardı. Spotlight sorgusu gerçekleştiren bir kullanıcıya okumak için yeterli ayrıcalıklara sahip olmadığı dosyalara başvuran arama sonuçları gösterilebiliyordu. Bu sorun sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8833: David J Peacock, Independent Technology Consultant

  • sysmond

    İlgili İşletim Sistemleri: OS X Mavericks 10.9.5, OS X Yosemite 10.10 ve 10.10.1

    Etki: Kötü amaçlı bir uygulama kök ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Sysmond'da yerel bir uygulamanın ayrıcalıkları yönlendirmesine olanak sağlayan bir tür karışıklığı güvenlik açığı vardı. Bu sorun tür denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-883:: Google Project Zero'dan Ian Beer

  • UserAccountUpdater

    İlgili işletim sistemleri: OS X Yosemite 10.10 ve 10.10.1

    Etki: Yazdırmayla ilgili tercih dosyaları PDF belgeleri hakkında hassas bilgiler içerebilir

    Açıklama: OS X Yosemite 10.10, parolaların yazdırma tercih dosyalarında bulunabildiği Yazdır iletişim kutusundan oluşturulan parola korumalı PDF dosyalarının işlenmesindeki sorunu giderdi. Bu güncelleme yazdırma tercih dosyalarında bulunabilen bu tür ilgisiz bilgileri kaldırır.

    CVE kimliği

    CVE-2014-8834: Apple

Not: OS X Yosemite 10.10.2 Safari 8.0.3 güvenlik içeriğini içerir.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: