OS X Yosemite v10.10.2 ve Güvenlik Güncellemesi 2015-001'in güvenlik içeriği hakkında
Bu belgede, OS X Yosemite v10.10.2 ve Güvenlik Güncellemesi 2015-001'in güvenlik içeriği açıklanmaktadır
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
OS X Yosemite v10.10.2 ve Güvenlik Güncellemesi 2015-001
AFP Server
İlgili sürümler: OS X Mavericks v10.9.5
Etki: Uzaktaki bir saldırgan, sistemdeki tüm ağ adreslerini belirleyebilir
Açıklama: AFP dosya sunucusu, tüm ağ adreslerini döndüren bir komutu destekliyordu. Adreslerin sonuçlardan çıkarılmasıyla bu sorun giderildi.
CVE-ID
CVE-2014-4426 : Tripwire VERT'den Craig Young
bash
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Yerel saldırganların rastgele kod yürütmesine izin verebilecek bir sorun da dahil olmak üzere bash'te birden fazla güvenlik açığı
Açıklama: bash'te birden fazla güvenlik açığı mevcuttu. bash'in, yama düzeyi 57'ye güncellenmesiyle bu sorunlar giderildi.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Bluetooth
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOBluetoothFamily'de çekirdek belleğinin manipülasyonuna izin veren bir tamsayı işaretleme hatası vardı. Sınır denetimi iyileştirilerek bu sorun giderildi. Bu sorun, OS X Yosemite sistemlerini etkilemez.
CVE-ID
CVE-2014-4497
Bluetooth
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bluetooth sürücüsünde, kötü amaçlı bir uygulamanın çekirdek belleğine yazma boyutunu kontrol etmesine izin veren bir hata vardı. Ek giriş doğrulamasıyla bu sorun giderildi.
CVE-ID
CVE-2014-8836 : Google Project Zero'dan Ian Beer
Bluetooth
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bluetooth sürücüsünde, kötü amaçlı bir uygulamanın sistem ayrıcalıklarıyla rastgele kod yürütmesine izin veren birden fazla güvenlik sorunu vardı. Ek giriş doğrulamasıyla bu sorunlar giderildi.
CVE-ID
CVE-2014-8837 : Emaze Networks'ten Roberto Paleari ve Aristide Fattori
CFNetwork Cache
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Özel taramadan çıkıldıktan sonra web sitesi önbelleği tamamen temizlenmeyebilir
Açıklama: Özel dolaşmada çıkıldıktan sonra tarama verilerinin önbellekte kalmasına neden olan bir gizlilik sorunu vardı. Önbelleğe alma davranışı değiştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4460
CoreGraphics
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: PDF dosyalarının işlenmesinde bir tam sayı taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4481: Binamuse VRT'den Felipe Andres Manzano, iSIGHT Partners GVP Programı aracılığıyla
CPU Software
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1 (MacBook Pro Retina, MacBook Air (2013 Ortası ve sonraki modeller), iMac (2013 Sonu ve sonraki modeller), Mac Pro (2013 Sonu) için)
Etki: Kötü amaçlı bir Thunderbolt aygıtı, firmware'in güncellenmesini etkileyebilir
Açıklama: Thunderbolt aygıtları, bir EFI güncellemesi sırasında bağlanırsa ana bilgisayar firmware'ini değiştirebiliyordu. Bu sorun, güncellemeler sırasında isteğe bağlı ROM'ların yüklenmemesi sağlanarak giderildi.
CVE-ID
CVE-2014-4498 : Two Sigma Investments'tan Trammell Hudson
CommerceKit Framework
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Sisteme erişimi olan bir saldırgan, Apple Kimliği kimlik bilgilerini alabilir
Açıklama: App Store günlüklerinin işlenmesinde bir sorun vardı. App Store işlemi, ek günlük kaydı etkinleştirildiğinde Apple Kimliği kimlik bilgilerini günlüğe kaydedebiliyordu. Bu sorun kimlik bilgilerinin günlüğe kaydedilmesine izin verilmeyerek giderildi.
CVE-ID
CVE-2014-4499 : Sten Petersen
CoreGraphics
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Güvenli olmayan metin girişi ve fare etkinliklerine sahip bazı üçüncü taraf uygulamalar, bu etkinlikleri günlüğe kaydedebilir
Açıklama: İlklendirilmemiş bir değişken ile bir uygulamanın özel ayırıcısının bir araya gelmesi sonucu güvenli olmayan metin girişi ve fare olayları günlüğe kaydedilebiliyordu. Bu sorun, günlük kaydının saptanmış ayar olarak kapalı olması sağlanarak giderildi. OS X Yosemite'ten önceki sistemler bu sorundan etkilenmez.
CVE-ID
CVE-2014-1595 : Mozilla'dan Steven Michaud (Kent Howard ile)
CoreGraphics
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: PDF dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sorun, sınırların denetimi iyileştirilerek giderildi. Bu sorun, OS X Yosemite sistemlerini etkilemez.
CVE-ID
CVE-2014-8816 : Digital Operatives LLC'den Mike Myers
CoreSymbolication
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: coresymbolicationd'nin XPC mesajlarını işlemesinde birden fazla tür karışıklığı sorunu vardı. Tür denetimi iyileştirilerek bu sorunlar giderildi.
CVE-ID
CVE-2014-8817 : Google Project Zero'dan Ian Beer
FontParser
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: .dfont dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4484: HP Zero Day Initiative'iyle çalışan Gaurav Baruah
FontParser
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: Font dosyalarının işlenmesinde bir arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4483: Apple
Foundation
İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir XML dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: XML ayrıştırıcısında bir arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4485: Apple
Intel Graphics Driver
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Intel grafik sürücüsünde birden fazla güvenlik açığı
Açıklama: Intel grafik sürücüsünde birden fazla güvenlik açığı vardı. Bu açıkların en ciddileri, sistem ayrıcalıklarıyla rastgele kod yürütülmesine yol açabiliyordu. Bu güncelleme, ek sınır denetimleriyle bu sorunları giderir.
CVE-ID
CVE-2014-8819 : Google Project Zero'dan Ian Beer
CVE-2014-8820 : Google Project Zero'dan Ian Beer
CVE-2014-8821 : Google Project Zero'dan Ian Beer
IOAcceleratorFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOAcceleratorFamily'nin belirli IOService userclient türlerini işlemesinde bir null işaretçi dereferansı sorunu vardı. Bu sorun IOAcceleratorFamily bağlamları için doğrulama işlemi iyileştirilerek giderildi.
CVE-ID
CVE-2014-4486: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de bir ara bellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4487: TaiG Jailbreak Team
IOHIDFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin kaynak kuyruğu meta verilerini işlemesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-4488: Apple
IOHIDFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'nin etkinlik kuyruklarını işlemesinde bir null işaretçi dereferansı sorunu vardı. Bu sorun, IOHIDFamily etkinlik kuyruğu ilklendirme doğrulamasının iyileştirilmesiyle giderildi.
CVE-ID
CVE-2014-4489: @beist
IOHIDFamily
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulamayı çalıştırmak, çekirdekte rastgele kod yürütülmesine yol açabilir
Açıklama: IOHIDFamily sürücüsü tarafından sağlanan bir kullanıcı istemcisinde, kötü amaçlı bir uygulamanın çekirdek adres alanının rastgele bölümlerinin üzerine yazmasına izin veren bir sınır denetimi sorunu vardı. Savunmasız kullanıcı istemcisi yöntemi kaldırılarak bu sorun giderildi.
CVE-ID
CVE-2014-8822 : Vitaliy Toropov (HP'nin Zero Day Initiative programıyla)
IOKit
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOKit işlevlerinin işlenmesinde bir tam sayı taşması sorunu vardı. Bu sorun IOKit API bağımsız değişkenleri için doğrulamanın geliştirilmesiyle giderildi.
CVE-ID
CVE-2014-4389 : Google Project Zero'dan Ian Beer
IOUSBFamily
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Ayrıcalıklı bir uygulama, çekirdek belleğinden rastgele verileri okuyabilir
Açıklama: IOUSB denetleyicisinin kullanıcı istemcisi işlevlerini işlemesinde bir bellek erişimi sorunu vardı. Bağımsız değişken doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8823 : Google Project Zero'dan Ian Beer
Kerberos
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kerberos libgssapi kitaplığı, sarkan bir işaretçiyle bağlam jetonu döndürüyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-5352
Kernel
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Özel bir önbellek modunun belirtilmesi, çekirdeğin salt okunur paylaşılan bellek bölümlerine yazmaya izin veriyordu. Yazma izinlerinin, bazı özel önbellek modlarının bir yan etkisi olarak verilmemesi yoluyla bu sorun giderildi.
CVE-ID
CVE-2014-4495: Google Project Zero'dan Ian Beer
Kernel
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IODataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta veri doğrulaması iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8824 : @PanguTeam
Kernel
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Yerel bir saldırgan, çekirdeğe yönelik dizin hizmeti yanıtlarını taklit edebilir, ayrıcalıkları yükseltebilir veya çekirdekte yürütme imkanı elde edebilir
Açıklama: Dizin hizmeti çözümleme işleminin, işaret işlemenin ve hata işlemenin identitysvc doğrulamasında sorunlar vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8825 : CrowdStrike'tan Alex Radocea
Kernel
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Yerel bir kullanıcı çekirdek yerleşimini belirleyebilir
Açıklama: Ağ istatistikleri arabiriminde, çekirdek belleği içeriğinin açığa çıkmasına neden olan birden fazla ilklendirilmemiş bellek sorunu vardı. Bu sorun ek bellek ilklendirmeyle giderildi.
CVE-ID
CVE-2014-4371 : Google Security Team'den Fermin J. Serna
CVE-2014-4419 : Google Security Team'den Fermin J. Serna
CVE-2014-4420 : Google Security Team'den Fermin J. Serna
CVE-2014-4421 : Google Security Team'den Fermin J. Serna
Kernel
İlgili sürümler: OS X Mavericks v10.9.5
Etki: Ayrıcalıklı ağ konumuna sahip bir kişi, servis reddine neden olabilir
Açıklama: IPv6 paketlerinin işlenmesinde bir yarış durumu sorunu vardı. Bu sorun, kilit durumu denetiminin iyileştirilmesiyle giderildi.
CVE-ID
CVE-2011-2391
Kernel
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlarla oluşturulmuş veya güvenliği ihlal edilmiş uygulamalar çekirdekteki adresleri belirleyebilir
Açıklama: Çekirdek uzantılarıyla ilgili API'lerin işlenmesinde bilgilerin açığa çıkmasına neden olan bir sorun vardı. OSBundleMachOHeaders anahtarı içeren yanıtlar, rastgele adres alanı düzeni korumasının atlanmasına yol açabilecek şekilde çekirdek adresleri içermiş olabilir. Bu sorun adresler döndürülmeden önce işlevin sonucu hale getirilerek çözüldü.
CVE-ID
CVE-2014-4491: @PanguTeam, Stefan Esser
Kernel
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOSharedDataQueue nesnelerinin belirli meta veri alanlarının işlenmesinde bir doğrulama sorunu vardı. Meta verilerin yeniden konumlandırılmasıyla bu sorun giderildi.
CVE-ID
CVE-2014-4461 : @PanguTeam
LaunchServices
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir JAR dosyası Gatekeeper denetimlerini atlayabilir
Açıklama: Uygulama başlatma işlemlerinin işlenmesinde, bazı kötü amaçlı JAR dosyalarının Gatekeeper denetimlerini atlamasına izin veren bir sorun vardı. Dosya türü meta verilerinin işlenmesi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8826 : Amplia Security'den Hernan Ochoa
libnetcore
CVE-2014-4381: Google Project Zero'dan Ian Beer
Impact: A malicious, sandboxed app can compromise the networkd daemon
Description: Multiple type confusion issues existed in networkd's handling of interprocess communication. By sending networkd a maliciously formatted message, it may have been possible to execute arbitrary code as the networkd process. The issue is addressed through additional type checking.
CVE-ID
CVE-2014-4492 : Ian Beer of Google Project Zero
LoginWindow
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Bir Mac, uyandırıldığı anda kilitlenmeyebilir
Açıklama: Kilitli ekranın işlenmesinde bir sorun vardı. Kilitliyken ekranın işlenmesi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8827 : Mono'dan Xavier Bertels ve birden fazla OS X çekirdek test kullanıcısı
lukemftp
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir http sunucusundan dosya almak için komut satırı ftp aracını kullanmak, rastgele kod yürütülmesine yol açabilir
Açıklama: HTTP yönlendirmelerinin işlenmesinde bir komut ekleme sorunu vardı. Özel karakterleri doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8517
ntpd
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Ntp arka plan programının kriptografik kimlik doğrulama etkinken kullanılması, bilgi sızdırılmasına neden olabilir
Açıklama: ntpd'de birden fazla giriş doğrulama sorunu vardı. Veri doğrulaması iyileştirilerek bu sorunlar giderildi.
CVE-ID
CVE-2014-9297
OpenSSL
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: OpenSSL 0.9.8za'da birden fazla güvenlik açığı vardı. Bu açıklardan biri, bir saldırganın kitaplığı kullanan uygulamalarda, bağlantıların sürümünü daha zayıf şifre paketlerini kullanacak şekilde düşürmesine olanak sağlayabiliyordu.
Açıklama: OpenSSL 0.9.8za'da birden fazla güvenlik açığı vardı. Bu sorunlar, OpenSSL 0.9.8zc sürümüne güncellenerek giderildi.
CVE-ID
CVE-2014-3566
CVE-2014-3567
CVE-2014-3568
Sandbox
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Korumalı alan profillerinin önbelleğe alınmasında, korumalı alandaki uygulamaların önbelleğe yazma erişimi elde etmesini olanak sağlayan bir tasarım sorunu vardı. "com.apple.sandbox" segmenti içeren yollara yazma erişimi sınırlanarak bu sorun giderildi. OS X Yosemite v10.10 veya sonraki sürümler bu sorundan etkilenmez.
CVE-ID
CVE-2014-8828 : Apple
SceneKit
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Etki: Kötü amaçlı bir uygulama, kullanıcı bilgilerinin tehlikeye atılmasına yol açacak şekilde rastgele kod yürütebilir
Açıklama: SceneKit'te birden fazla sınırların dışına yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE-ID
CVE-2014-8829 : Google Security Team'den Jose Duart
SceneKit
İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine yol açabilir
Açıklama: SceneKit'in Collada dosyalarını işlemesinde bir yığın arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabiliyordu. Erişimci öğe doğrulaması işlemi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-8830: Google Security Team'den Jose Duart
Security
İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: İptal edilmiş bir Geliştirici Kimliği sertifikasıyla imzalanmış indirilen bir uygulama, Gatekeeper denetimlerini geçebilir
Açıklama: Önbelleğe alınan uygulama sertifikası bilgilerinin değerlendirilme yöntemiyle ilgili bir sorun vardı. Önbellek mantığı iyileştirmeleriyle bu sorun giderildi.
CVE-ID
CVE-2014-8838 : Apple
security_taskgate
İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Bir uygulama, diğer uygulamalara ait anahtar zinciri öğelerine erişebilir
Açıklama: Anahtar zincirinde bir erişim denetimi sorunu vardı. Kendinden imzalı veya Geliştirici Kimliği sertifikalarıyla imzalanmış uygulamalar, erişim denetim listeleri anahtar zinciri gruplarına dayalı olan anahtar zinciri öğelerine erişebiliyordu. Bu sorun, anahtar zinciri gruplarına erişim izni verilirken imza kimliğinin doğrulanmasıyla giderildi.
CVE-ID
CVE-2014-8831 : Apple
Spotlight
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Bir e-postayı gönderen kişi, alıcının IP adresini belirleyebilir
Açıklama: Spotlight, Mail'in "İletilerde bulunan indirilmemiş içerikleri yükle" ayarının durumunu denetlemiyordu. Bu sorun konfigürasyon denetimi iyileştirilerek giderildi.
CVE-ID
CVE-2014-8839 : The New York Times'tan John Whitehead, LastFriday.no'dan Frode Moe
Spotlight
İlgili sürümler: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Spotlight beklenmedik bilgileri harici bir sabit sürücüye kaydedebilir
Açıklama: Spotlight'ta, dizinleme sırasında bellek içeriğinin harici sabit sürücülere yazılmasına neden olabilecek bir sorun vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8832 : F-Secure
SpotlightIndex
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Spotlight, kullanıcıya ait olmayan dosyalara ilişkin sonuçlar görüntüleyebilir
Açıklama: Spotlight'ın izin önbelleklerini işlemesinde bir seri durumdan çıkarma sorunu vardı. Spotlight sorgusu gerçekleştiren bir kullanıcıya, okumak için yeterli ayrıcalıklara sahip olmadığı dosyalara referans veren arama sonuçları gösterilebiliyordu. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8833 : David J Peacock, Bağımsız Teknoloji Danışmanı
sysmond
İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10 ve v10.10.1
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: sysmond'da, yerel bir uygulamanın ayrıcalıkları yükseltmesine izin veren bir tür karışıklığı güvenlik açığı vardı. Tür denetimi iyileştirilerek bu sorun giderildi.
CVE-ID
CVE-2014-8835 : Google Project Zero'dan Ian Beer
UserAccountUpdater
İlgili sürümler: OS X Yosemite v10.10 ve v10.10.1
Etki: Yazdırmayla ilgili tercih dosyaları, PDF belgeleri hakkında hassas bilgiler içerebilir
Açıklama: OS X Yosemite v10.10, Yazdır iletişim kutusundan oluşturulan parola korumalı PDF dosyalarının işlenmesi sırasında, yazdırma tercihi dosyalarına parolaların eklenmesine neden olabilen bir sorunu giderdi. Bu güncelleme, yazdırma tercihi dosyalarında bulunabilecek bu tür gereksiz bilgileri kaldırır.
CVE-ID
CVE-2014-8834 : Apple
Not: OS X Yosemite 10.10.2, Safari 8.0.3'ün güvenlik içeriğini kapsar.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.